GIJN JSAT - Spanish

Análisis de riesgo y evaluación de amenazas

Tu organización tiene campo para mejorar en la categoría de análisis de riesgo y evaluación de amenazas. ¡No te preocupes! Hemos elaborado algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

A. Determina tu modelo de amenaza

Al pensar sobre los riesgos que enfrenta tu organización periodística, es útil tener en cuenta todos los riesgos a los que está expuesto tu equipo, como los retos digitales, físicos, legales y organizacionales. Muchas amenazas nacen de los gobiernos, la policía, los grupos criminales y las demandas; y pueden llevar a ataques físicos y digitales.

El proceso de documentar y analizar tus riesgos se conoce como "modelo de amenaza". Si apenas comienzas con temas de seguridad en tu organización, o estás evaluando tu aproximación poco después de un ataque, comienza con tu modelo de amenaza. Este proceso no solo identifica riesgos de seguridad, sino también te ayuda a identificar vulnerabilidades en tu organización. La Electronic Frontier Foundation ofrece aquí una guía paso a paso para el modelo de amenaza. Access Now Help Desk ofrece aquí una guía fácil de modelos de amenaza, con ejemplos.

B. Genera una matriz de riesgos

Los riesgos de cada organización son únicos y el contexto en el que haces tu trabajo te ayudará a hacer un mapa más preciso de qué riesgos son más probables y peligrosos para tu equipo.

Resulta útil considerar los riesgos a la seguridad de tu organización basados en la probabilidad de amenazas específicas y su posible impacto. Un evento no necesariamente exige toda tu atención por el hecho de ser probable. Por ejemplo, algunas amenazas (como el daño físico a tu teléfono celular) puede ser muy probable, pero no muy efectivo o peligroso. Otras amenazas, como un ciberataque patrocinado por intereses corporativos, puede ser mucho menos probable, pero muy peligroso.

Puedes hacer un mapa de estos riesgos con una herramienta llamada "matriz de riesgos", que representa las diferentes amenazas en una tabla, en la que un eje es la probabilidad y el otro es el impacto.

Aquí hay un ejemplo.

Esto es muy útil para que los miembros de tu organización vean rápidamente qué riesgos son más probables y más peligrosos. La Electronic Frontier Foundation tiene un buen modelo de matriz de riesgo en su guía para modelar riesgos. Holistic Security, de Tactical Tech, ofrece más lecturas sobre estas matrices.

Tu organización tuvo un puntaje razonable en la categoría de análisis de riesgo y evaluación de amenazas. Esto quiere decir que tiene un nivel razonable de seguridad en esta área. ¡Buen trabajo! Hay todavía áreas en las que pueden mejorar, así que hemos reunido algunas recomendaciones.

Qué recomendamos

A. Desarrolla un plan de respuesta a incidentes

Junto con tu equipo, desarrolla un plan básico de respuesta a incidentes. Para hacerlo, pregúntate qué pasos tomarías si ocurriese una amenaza en particular. Los profesionales de ciberseguridad a menudo usan marcos de riesgo, como SANS Incident Response, NIST Cybersecurity, ISO 27001 y MITRE ATT&CK Matrix, para identificar amenazas comunes y determinar la mejor forma de responder. Estos marcos probablemente sean más avanzados de lo que necesitas en este momento. Tu organización puede usar un marco como el que se presenta a continuación para comenzar a responder la pregunta:

Si...

Cómo responderías...

Nuestro equipo hizo clic en un vínculo extraño

Nuestra cuenta en redes sociales fue hackeada

Nuestra cuenta de correo electrónico fue hackeada

Nuestros portátiles/móviles fueron hackeados

Nuestro portal fue hackeado o desconfigurado

Nuestra organización fue engañada por quienes se hacían pasar por donantes/financiadores

Un miembro de nuestro equipo fue arrestado

Un miembro de nuestro equipo fue acosado en internet.

Hubo una disrupción de nuestras comunicaciones internas

Nuestros portátiles pudieron haber sido robados

No te preocupes si no tienes todas las respuestas. Llena toda la información que puedas. Este paso será muy útil cuando trabajes con un proveedor de seguridad que pueda ayudar a desarrollar soluciones a estas amenazas.

Entiende cómo las fases de respuestas a incidentes trabajan juntas

En temas de seguridad, puedes pensar en cuatro etapas para responder a un incidente: prepararse, detectar, contener/erradicar/recuperar y luego procesar/aprender.

Preparar: Hay pasos que tu equipo puede tomar antes de un incidente para mejorar la resiliencia de la organización. Uno de ellos es hacerse preguntas que incluyen:

¿Cuántos dispositivos tenemos?
¿Cuáles son los más importantes?
¿Cómo mantenemos seguros estos dispositivos?
¿Tenemos políticas internas de nuestros departamentos que sean fáciles de seguir en una crisis?
¿Podemos diseñar una lista maestra para seguir durante una crisis? Durante un incidente, el pánico a menudo nubla nuestro pensamiento y ayudaría tener una lista de pasos.

Detectar: Esta fase ocurre cuando tu organización identifica lo que está sucediendo y planea un camino a seguir. Para hacer esto, ten en cuenta los siguientes pasos:

Recoge toda la información que puedas sobre el incidente (sea físico o digital) para luego procesar e investigar.
- Para incidentes digitales: Lleva registro de fechas y tiempos, captura tomas de pantalla, graba portales y vínculos sospechosos, deja de usar el dispositivo y desconecta el aparato del internet (sin embargo, no lo apagues).
- Para incidentes físicos: Documenta las fechas y horas, captura cualquier imágen o video del incidente, entrevista a cualquier persona involucrada, escribe todos los detalles y, si es apropiado, presenta un reporte formal con las autoridades.

Contener/Erradicar/Recuperar: Esta etapa de hecho está compuesta de tres pasos.

En el primer paso de "contención", tu equipo puede identificar la causa y tomar pasos para detener o bloquear el daño inmediato.
En el segundo paso, "erradicación", tu equipo puede detener del todo el incidente y eliminar cualquier amenaza que se haya descubierto.
En el tercer paso, "recuperación", tu equipo puede devolver las operaciones a su estado pre-incidente, y atender cualquier daño que queda.

Procesar/Aprender: Esta fase no se trata de culpar a los demás, sino de revisar cómo cada fase aconteció y evaluar cómo tu organización puede mejorar el proceso y tu respuesta futura.

Encontrar a un proveedor de seguridad

Ahora que entiendes los riesgos y amenazas que enfrenta tu organización, puedes comenzar a pensar sobre cómo responder a estas amenazas. Es en este punto en el que muchas personas caen en la incertidumbre, en especial si no tienen un trasfondo en temas de seguridad. Por fortuna, hay proveedores de seguridad que pueden ayudar. Al elegir un proveedor de seguridad, recomendamos hacer una serie de preguntas para determinar si son adecuados para tu organización. Creemos que las más importantes son:

¿Por qué haces este trabajo?
¿Estás familiarizado con nuestra región, cultura o idioma?
¿Trabajas con organizaciones periodísticas? De ser así, ¿cuál es la diferencia entre cómo te aproximas a este trabajo y al que realizas con otros clientes?
¿Has trabajado con un grupo de mi tamaño antes? ¿Puedes hablarme más sobre este trabajo?
¿En el pasado has trabajado con incidentes o temas que sean similares a los nuestros? Por favor presenta un caso de estudio.
¿Con cuántos clientes estás trabajando actualmente? ¿Qué porcentaje de tu tiempo dedicarás a mi organización?
¿Cómo entiendes los riesgos que enfrentamos?

Un proveedor de seguridad no puede solucionar todos los retos de tu organización por sí mismo. Entiende que vas a necesitar a una persona de tu equipo encargada de administrar este trabajo y actuar como un vínculo entre tu organización y el proveedor de seguridad.

Tu organización tuvo un puntaje alto de seguridad en esta área. ¡Buen trabajo! Aún hay áreas en las que puedes mejorar, así que hemos reunido algunas recomendaciones para ayudarte a fortalecer la seguridad de tu organización.

Qué recomendamos:

Haz un ejercicio de mesa.

Es importante poner a prueba tus creencias sobre seguridad al hacer un ejercicio simulado para tu organización. En el mundo de la seguridad, llamamos "ejercicio de mesa" a esas pruebas. Tu equipo no tiene que estar físicamente reunido en torno a una mesa para completar el ejercicio. Durante uno de ellos, puedes discutir cómo tu organización enfrentaría una amenaza hipotética, paso a paso, y en qué áreas debes mejorar. Una idea es escribir los escenarios para distintos incidentes en tarjetas de índice, ponerlas dentro de una caja y luego programar unas horas en el calendario de tu organización, para sacar unas pocas e iniciar el ejercicio.

Cuando estés listo para tu primer ejercicio de mesa, aquí están los pasos clave para comenzar. Algunos proveedores de seguridad incorporan las guías MITRE Corp. para ejercicios de mesa.

Determinar qué te gustaría poner a prueba (generalmente eligiendo una de tus principales amenazas identificadas).
Elige un líder de grupo para que realice el ejercicio.
Crea una línea narrativa verosímil que incluya la amenaza que quieres poner a prueba.
Reúne al equipo que sería responsable de lidiar con esta amenaza.
Guía al equipo por la escena y pregúntales cuál sería, paso a paso, su respuesta.
Lleva registro de los vacíos, preocupaciones o puntos débiles en la respuesta a la amenaza.

Puedes usar los conocimientos aprendidos del ejercicio de mesa para identificar áreas que te preocupen, y comenzar a desarrollar estrategias para reducir esos riesgos.

Por qué recomendamos esto:

Comprender tu riesgo es fundamental para la salvaguardar seguridad de tu organización. Toda planificación adecuada de seguridad y protección comienza con un conocimiento profundo de las posibles amenazas a las que nos enfrentamos. Invertir tiempo y esfuerzo en comprender mejor tu modelo de amenazas hará mucho más fácil reducir su riesgo en el futuro. Recuerda también que las amenazas evolucionan, por lo que es posible que debas actualizar tu modelo de amenazas, a medida que cambia tu organización y el panorama que la rodea.

Una vez que hayas desarrollado políticas, planes y documentación, considera hacer un ejercicio de mesa. Solo recuerda fomentar un espacio abierto y sin prejuicios; aprender acerca de las vulnerabilidades de seguridad no implica acusar o culpar a individuos.

Cuando ocurre un incidente real -no si ocurre-, puede ser aterrador, estresante y caótico. Seguir estas mejores prácticas aumenta la probabilidad de obtener los mejores resultados posibles. No olvides que deberás asignarle a al menos un miembro de tu equipo la tarea de supervisar los esfuerzos de seguridad dentro de tu organización.

Un ejemplo ficticio:

Voz de la Tierra Americana (o VTA) es una sala de redacción que cubre temas de política, medio ambiente y salud pública en Centroamérica.

VTA se ve a sí misma como una organización de noticias apolítica y no partidista. Sin embargo, después de que su sitio web fue hackeado y desfigurado, VTA se dio cuenta de que necesitaba realizar un análisis del modelo de amenazas, para comprender mejor los riesgos que enfrentan sus periodistas cuando realizan su trabajo.

Este proceso le ayudó a darse cuenta de que la probabilidad de más ataques digitales y físicos era alta para los grupos que trabajan temas similares. Si bien los miembros del personal de VTA no consideran que su misión es controvertida, se dan cuenta de que el perfil de riesgo de su propia organización es alto, debido a la efectividad y visibilidad de su trabajo. Como resultado, desarrollaron un plan de respuesta a incidentes y un listado de verificación para incidentes de seguridad física y digital.

El equipo de VTA decidió liderar de forma proactiva ejercicios de mesa, hablando sobre cómo se prepararían para un incidente de seguridad, y respondiendo a éste. Como resultado, cuando el equipo recibe amenazas verbales de personas que están bajo su cobertura periodística, tienen un plan para lidiar con cualquier riesgo potencial.

Documentación y políticas

Tu organización está en el nivel básico de seguridad y hay campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para fortalecer la seguridad de la organización.

Qué recomendamos:

Ten documentada tu política de seguridad y tu hoja de ruta para el futuro

Probablemente tienes documentos estratégicos, políticas y planes para ayudarte a llegar a tus objetivos clave, al ser la tuya una organización periodística bien establecida.

Una política de seguridad explica tus actuales operaciones de seguridad en el día a día. Una hoja de ruta de seguridad, en cambio, es un documento más centrado en aquello a lo que aspiras, y presenta los objetivos a mediano y largo plazo para tu política de seguridad.

Por fortuna, esto no tiene por qué ser intimidante. Si bien algunas organizaciones pueden tener una serie compleja de políticas de seguridad y planes, puedes comenzar con algo más simple. Los pasos clave para tener una política de documentación exitosa son:

Documenta los pasos que actualmente sigue más del 80% de tu equipo para enfrentar las amenazas a la seguridad.
Realiza una evaluación honesta de tu actual aproximación a las amenazas de seguridad.

Entre más honesta sea tu política, puede mejorar tu organización de una mejor manera. Si eres absolutamente honesto, deberías poder encontrar cómo mejorar dentro de tu organización. Por ejemplo, podrías encontrar que solo algunos de los miembros de tu equipo usan la herramienta de ciberseguridad que compraste o pocos son los que siguen los requisitos de seguridad física. Una vez hayas hecho una mirada a tu política e identificado vacíos, puedes comenzar a organizar una hoja de ruta de seguridad.

Los pasos clave para desarrollar una hoja de ruta de seguridad son:

Entiende y define tus principales amenazas y riesgos (ver análisis de riesgo y evaluación de amenazas).
Compara tu política actual con las principales amenazas, para identificar qué falta en tu aproximación a la seguridad.
Documenta lo que te gustaría implementar en el futuro para mejorar tu aproximación a la seguridad.

Cuando estés listo para crear tu primera política de seguridad, puedes usar la herramienta SOAP, que resulta muy útil para generar una política mediante preguntas paso a paso.

También recuerda que, como organización periodística, la seguridad debería extenderse no solo a tu equipo, sino también a tus fuentes. Si estás creando una nueva política de seguridad, asegúrate de incluir los pasos que piensas tomar para proteger la identidad y seguridad personal de las fuentes.

Tu organización tiene un nivel razonable de seguridad en esta área. ¡Buen trabajo! Todavía hay áreas para mejorar, así que hemos reunido algunas recomendaciones para fortalecer la seguridad de tu organización.

Qué recomendamos:

Haz cumplir las reglas gentilmente

Has invertido tiempo y recursos creando una política de seguridad y una hoja de ruta para tu organización. No obstante, a pesar de tus mejores esfuerzos, notas que algunos miembros del equipo no siempre siguen las reglas. Esto es común, en especial en organizaciones donde la seguridad no es un componente clave de la cultura del equipo.

No te preocupes. Integrar el "pensamiento de seguridad" en una organización es posible, aunque toma tiempo. Una de las formas más efectivas de lograr que el equipo piense sobre seguridad es introducir gradualmente conceptos de seguridad en el flujo de trabajo cotidiano, hasta que se vuelvan parte de la rutina del equipo.

Aquí hay una estrategia para ayudar a que tu equipo incorpore tus políticas de seguridad en sus operaciones.

1. Determina una forma efectiva de medir el cumplimiento del equipo en áreas que quieres mejorar. Por ejemplo, puedes tener revisiones semanales o hacer que ciertas prácticas sean obligatorias antes de una fecha en particular.

2. Reúne a tu equipo ejecutivo y pídeles que identifiquen los "vínculos débiles" en tu organización (individuos que no cumplen bien tu política de seguridad).

3. Delega en esos vínculos débiles tareas simples, como asegurarte de que sus colegas sigan requisitos básicos de tu política de seguridad.

4. Premia con halagos u otros elementos de motivación el cambio de comportamiento positivo, en especial entre miembros del equipo que antes no seguían los lineamientos. Sé empático.

5. No castigues el cumplimiento lento o laxo. La seguridad puede ser intimidante para muchas personas y puede tener una curva de aprendizaje empinada. Luego de una fecha y hora anunciadas, elimina los servicios (como email, ingresos, etcétera) a quienes no cumplan. Retira ciertos privilegios a miembros del equipo que no sigan la política de seguridad física (como trasladarlos a una oficina compartida). Otros servicios, como la autenticación de dos factores, pueden simplemente ser obligatorios. Prepárate para proveer apoyo adicional si esto sucede.

6. Realiza un ejercicio de mesa con tu equipo, para que puedan comprender mejor los riesgos que trae no seguir la política.

7. Comparte noticias y actualizaciones sobre otras organizaciones que han tenido problemas con amenazas de seguridad, como momentos de enseñanza para tu equipo. Esto puede implicar elenfatizar cómo tu organización podría estar expuesta a amenazas similares.

8. Comienza de nuevo con la fase de medición.

No te preocupes si los resultados son lentos. El cambio organizacional puede a veces tomar un año o más para terminar de completarse. Sigue trabajando en este proceso de forma continua.

Tu organización tiene un nivel de seguridad alto en esta área. ¡Buen trabajo! Aún hay áreas que pueden mejorar, así que hemos reunido unas recomendaciones para fortalecer la ciberseguridad de tu organización.

Qué recomendamos:

Mantén actualizadas tu política y hoja de ruta

Tu organización tiene políticas y procedimientos fuertes de seguridad y los miembros de tu equipo entienden la importancia de la seguridad en su trabajo cotidiano. Es importante recordar, sin embargo, que incluso la política de seguridad y la hoja de ruta más fuertes pueden desactualizarse, y volverse obsoletas a medida que las amenazas evolucionan.

Para ayudar, te recomendamos que pienses en tu política de seguridad y hoja de ruta como si fueran documentos "vivos" que deben ser actualizados regularmente para enfrentar nuevos riesgos y amenazas. Mantener actualizados estos documentos no requiere un compromiso que consuma mucho tiempo, pero sí implica hacer revisiones regularmente.

Aquí hay una estrategia para que tengas actualizadas las políticas y hojas de ruta, creando una estructura de gobernanza para la seguridad dentro de tu organización.

1. Crea un grupo de trabajo para investigar nuevas amenazas, riesgos y estrategias a medida que surgen. Este grupo quizás debería reunirse muy frecuentemente, como mensual o trimestralmente, o con menos frecuencia, como una o dos veces al año.

2. Desarrolla criterios para incluir procesos nuevos en tu flujo de trabajo. Antes de añadir una nueva pieza de software o práctica de seguridad, el grupo de trabajo debería considerar si esa decisión encaja con tu política de seguridad u hoja de ruta actuales.

3. Designa un miembro del equipo para que sea responsable de actualizar la política, basado en la retroalimentación de tu grupo de trabajo.

Recuerda que las fuerzas externas podrían hacer que tu política de seguridad cambie, justo al tiempo que cambian tus objetivos y aproximaciones organizacionales, para enfrentar nuevos retos.

Por qué recomendamos esto:

Antes de actualizar temas de seguridad, debes tener los fundamentos bien establecidos. Una política de seguridad y una hoja de ruta para tu organización puede ayudarte a ser proactivo con respecto a tu seguridad, mientras te preparas para los peores escenarios. Una política de seguridad debería ayudar a proteger a tu equipo, tu información y tus fuentes.

Desafortunadamente, incluso las organizaciones con las mejores intenciones tienen dificultades implementando políticas de seguridad de forma cotidiana. Por eso es importante adoptar una aproximación que no juzgue y sea empática, para ayudar a los miembros del equipo a cumplir. Premia los éxitos y lidia con los fracasos, y recuerda que toma tiempo cambiar comportamientos.

Una vez tengas una política dentro de tu organización, puedes no querer hacer cambios y afectar el status quo. Recuerda que las políticas y hojas de ruta deben adaptarse a las amenazas cambiantes para ser efectivas. Puedes reducir riesgos inesperados en el futuro si designas a ciertos miembros del equipo para que mantengan estos documentos actualizados.

Un ejemplo:

Nota: Este ejemplo es de una organización ficticia, pero los escenarios están basados en hechos de la vida real.

“Voz de la Tierra Americana” crece rápidamente. Lo que comenzó como una organización con sede en Panamá y una sola oficina de campo en Honduras se ha expandido a otros lugares del mundo.

Ahora que la organización crece, más miembros del equipo reportan posibles retos de seguridad. Por fortuna, ningún reto ha escalado a ser un incidente, pero la gerencia está preocupada con la actual política de seguridad de VTA.

Para ayudar a cerrar este vacío, el equipo de gerencia ejecutiva realiza una sesión de revisión de políticas. Halla que su actual política de seguridad tiene vacíos notables, pero refleja de forma fiel cómo la mayoría del equipo se encarga de la seguridad en el día a día. Se dan cuenta de que tienen que hacer más para que su seguridad haga una parte clave del flujo de trabajo de la organización. Como respuesta, reparan los vacíos moviendo los objetivos de seguridad de su hoja de ruta a su política y hacen de estos pasos una realidad.

También toman pasos para asegurarse de que una mayor cantidad de personas en el equipo cumplan la nueva política revisada. Estos incluyen comenzar cada reunión de equipo con reconocer públicamente a los miembros del equipo que han demostrado tener buenas prácticas de seguridad, mientras les preguntan a quienes están atrasados que hagan parte de un ejercicio de mesa que demostrará de primera mano los riesgos de ignorar la nueva política.

Cuando comienzan a hacer reportajes sobre la corrupción en Panamá, se dan cuenta de que sus políticas deben actualizarse, para reflejar esta nueva línea. La directora ejecutiva de VTA crea un grupo de trabajo para hacer cambios a la política, monitorear las amenazas en las oficinas y actualizar las políticas al menos una vez al año.

Riesgos internos (intencionales o no)

Tu organización tiene nivel básico de seguridad, con espacio para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Haz una revisión de la seguridad física y digital de tu organización

Los miembros de tu equipo y tus fuentes son vitales para la misión de tu organización. Sin embargo, intencionalmente o no, en ocasiones sus decisiones y acciones pueden poner a tu organización en riesgo. Esto es particularmente cierto en el mundo digital, donde un clic equivocado o un ajuste de seguridad que no se aplicó puede dejar a todo el equipo (y a las personas que dependen de la información) en condición de vulnerabilidad.

Una de las formas más sencillas de revisar tu seguridad es compilando una lista básica para verificar prácticas de seguridad física y digital que los miembros de tu equipo pueden seguir.

En cuanto a seguridad digital, aquí hay una lista de sugerencias para dispositivos Windows y para dispositivos Mac.

En cuanto a la seguridad física, aquí hay mejores prácticas para periodistas que trabajan tanto en cubrimiento doméstico como extranjero.

No olvides que las protecciones de seguridad deberían extenderse también a las fuentes. Asegúrate de que las medidas para protección de las fuentes estén incluidas en la lista de verificación de prácticas.

Una vez que los miembros de tu equipo hayan completado la lista de verificación, pueden firmar un certificado de finalización, que indica que han tomado pasos básicos hacia el cumplimiento. Su supervisor puede entonces firmar que han completado la lista de verificación. Estos documentos pueden almacenarse en el archivo del empleado.

Tu organización tiene un nivel razonable de seguridad en esta área. ¡Buen trabajo! Todavía hay campo para mejorar, así que hemos reunido algunas recomendaciones para fortalecer la ciberseguridad de la organización.

Qué recomendamos:

Añade lenguaje claro en los acuerdos de empleo

Los miembros de tu equipo son proactivos sobre el monitoreo de su seguridad y entienden la importancia de cumplir la política de seguridad de tu organización. Pueden reunirse periódicamente con los supervisores para discutir sus preocupaciones de seguridad y completar las listas de verificación de seguridad.

Ahora puedes comenzar a incorporar la seguridad en su descripción de trabajo. Esto ayuda a enfatizar que la seguridad no es solo parte de su flujo de trabajo, sino también una responsabilidad fundamental como miembro de la organización. Una forma efectiva de hacer esto es asegurarte de que los acuerdos de empleo tengan lenguaje claro, verdadero y fácil de entender sobre privacidad y seguridad. Recomendamos que incluya lenguaje sobre:

Responsabilidad de cuidado: ¿qué responsabilidad tienes, como organización periodística, de proteger a tus empleados y sus fuentes? ¿Qué responsabilidad tiene tu equipo por su propia seguridad y la seguridad de sus fuentes?

Datos: ¿qué responsabilidades tienen los miembros de tu equipo con los datos de tu organización y vice versa?

Términos de uso: ¿qué acuerdos legales gobiernan el uso de tecnología de los miembros de tu equipo, en particular cualquier software, hardware o sistemas que sean propiedad de tu organización?

Política de uso aceptable: ¿qué políticas y guías deben seguir los miembros de tu equipo cuando acceden a los sistemas internos de la organización?

Política de inducción: ¿cómo se espera que los miembros del equipo aprendan sobre seguridad cuando se vinculan a la organización?

Política de salida: ¿qué pasos se deben tomar cuando un miembro de tu equipo sale de la organización?

Puedes querer usar los servicios de un abogado para ayudarte a redactar el lenguaje. Puede también haber otras secciones que aplican directamente a tu situación. Solo recuerda: el objetivo aquí es ser claro e informativo, no abrumar a tu equipo con jerga jurídica. Intenta que los acuerdos de empleo no sean más largos de una página, si es posible, incluyendo la lista de verificación, y asegúrate que los firmen los miembros del equipo y los supervisores.

Tu organización tiene un nivel alto de seguridad en esta área. ¡Buen trabajo! Hay todavía áreas en las que se puede mejorar, así que hemos reunido algunas recomendaciones para fortalecer la ciberseguridad de tu organización.

Qué recomendamos:

Considera usar sistemas de administración de dispositivos

Tu equipo tiene contacto regular con la administración con respecto a sus riesgos de seguridad y ha revisado los requisitos de seguridad en sus acuerdos de empleo.

Sin embargo, incluso los miembros más informados e interesados del equipo pueden cometer errores. Uno de los más comunes es que alguien pierda, dañe, o le sea robado o confiscado un dispositivo digital con información sensible. Esto es particularmente importante si usan estos dispositivos para comunicarse con fuentes o almacenar información relacionada con sus reportajes.

Por eso recomendamos encontrar un método para administrar sus dispositivos digitales, que sea consistente con los valores y objetivos de tu organización.

Por ejemplo, el software que se conoce como plataformas de "administración de dispositivos" puede permitirles a las organizaciones administrar sus dispositivos de trabajo de forma remota. Si bien la conveniencia y seguridad mejorada de las herramientas de administración de dispositivos es una ventaja, recuerda que siempre debes equilibrar la seguridad con un nivel de privacidad para tu equipo.

El software de administración de dispositivos incluye herramientas como G Suite de Google Devices, la gestión de dispositivos móviles de Apple y Prey, que permiten rastrear y borrar datos de forma remota en aparatos. También hay soluciones de compañías como IBM, Citrix y VMWare.

Un proveedor técnico también podría ayudarte a usar estas herramientas para forzar a los dispositivos que son propiedad de la organización a "obedecer" las políticas de seguridad, o de lo contrario restringir la capacidad de tu equipo de instalar su propio software o cambiar los ajustes.

Por qué recomendamos esto:

El conocimiento es poder. Al proporcionar a los miembros de tu equipo una lista de verificación que les permita identificar riesgos de seguridad comunes, les estás empoderando para que actúen e incrementen su comprensión. Este paso también te da un registro útil de los niveles generales de seguridad de tu equipo.

Una vez hayas implementado una lista de verificación que alguien pueda "hacer por sí mismo", recuerda que incluso el miembro de tu equipo más dedicado aún puede cometer errores.

Tener una solución técnica que le permita a tu organización acceder de forma remota a los dispositivos de trabajo puede crear una red de seguridad para los momentos impredecibles o los accidentes que le pueden suceder a tu equipo. Sin embargo, debes equilibrar esto con el derecho de tu equipo a su privacidad.

Un ejemplo ficticio:

Cada vez que un nuevo periodista comenzaba a trabajar en VTA, los administradores le daban una amplia cantidad de información en una serie de reuniones. Entre esto se incluía cómo mantener sus dispositivos de trabajo con niveles máximos de seguridad.

Al analizarlo más de cerca, los administradores se percataron de que la mitad del equipo seguía las guías. Los horarios apretados, las entregas pendientes y la presión de hacer reportajes impedían que el equipo tomara los pasos necesarios para proteger sus dispositivos.

En lugar de imponer penalidades al equipo, los administradores les preguntaron a todos los miembros del equipo que realizaran una revisión de sus dispositivos y discutieran los resultados con sus supervisores. Esto les permitió a los miembros del equipo mejorar la seguridad sin sentirse juzgados por sus líderes.

Poco tiempo después de adoptar la lista de verificación, VTA pudo aliarse con dos periodistas locales en México. Esto fue un avance muy importante para VTA, pues nunca antes había podido tener presencia en más de dos países.

Aunque fue efectivo, los periodistas de México tenían menos recursos que VTA y necesitaban equilibrar las necesidades de seguridad con su tiempo y capacidades. Para ayudar, compilaron una lista de verificación de pasos detallada y obligatoria, enfocada en mantener sus dispositivos seguros. Esto fue importante porque no podían cubrir el costo de reemplazar dispositivos comprometidos.

Entrenamiento y apoyo del equipo

Tu organización está en el nivel básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Fija expectativas para el conocimiento en seguridad

Los miembros de tu equipo son apasionados, determinados, motivados y trabajan duro. Son periodistas expertos con mucha pasión. Lo más probable, sin embargo, es que no sean expertos en temas de seguridad. Aunque es fácil asumir que la mayoría de las personas tienen un nivel básico de experiencia con prácticas de seguridad, esto no siempre es el caso.

En lugar de asumir que tu equipo entiende lo básico de seguridad, asume que estás comenzando con una tabla en blanco. Desde ahí, puedes tomar una serie de pasos efectivos:

Familiarízate con lo básico en ciberseguridad. Algunos recursos para comenzar incluyen el currículo Surveillance Self-Defence, de Electronic Frontier Foundation y Data Detox Kit, de Tactical Tech.

Familiarízate con lo básico en seguridad física. Unos buenos recursos para comenzar incluyen el Journalist Security Guide del Committee to Protect Journalists y Reporting for Change del Institute for War and Peace Reporting.

Comienza el entrenamiento. Trabaja con un proveedor de seguridad para realizar un entrenamiento introductorio de "mejores prácticas" para tu equipo. Puedes necesitar trabajar con un entrenador diferente para los riesgos físicos y digitales, aunque un buen entrenador debería entender que ambos riesgos están relacionados.

Los entrenadores pueden estar disponibles mediante compañías privadas o mediante una alianza con organizaciones como GIJN, Freedom of the Press Foundation y Access Now.

Comparte la historia de seguridad de tu organización con tu equipo. En las organizaciones que van a un ritmo rápido, es fácil que se desvanezca el conocimiento generacional sobre los incidentes de seguridad, dejando a los miembros desinformados sobre los potenciales riesgos que corre la organización. Lleva una documentación de esta historia, para que los miembros de tu equipo estén bien informados.

Comenzar con conocimiento introductorio puede asegurar que todos los miembros del equipo estén en una posición equivalente.

Tu organización tuvo un puntaje razonable de seguridad en esta área. ¡Buen trabajo! Todavía hay campo para mejorar, así que hemos reunido algunas recomendaciones para fortalecer la seguridad de tu organización.

Qué recomendamos:

Introduce el entrenamiento poco a poco

Los miembros de tu equipo están ocupados. Es importante que recuerdes que olvidan la mayoría del contenido que escuchan, leen u observan durante el entrenamiento. ¡Esto es particularmente cierto para los periodistas que tienen una fecha de entrega próxima!

Por eso la repetición de los puntos clave en "dosis pequeñas" es una de las estrategias de aprendizaje más efectivas. Comienza identificando los comportamientos más críticos, las acciones y herramientas que necesitas que tu equipo comprenda e implemente.

Luego, introduce gradualmente sesiones de entrenamiento en el flujo de trabajo de tu organización. Quizás una hora al mes dedicada a revisar lo básico de la seguridad, o quizás una hora de almuerzo semanal se vuelve una sesión de práctica. Un entrenamiento de todo el día va a generar disrupciones en el flujo de trabajo, y llevará a que los miembros del equipo estén cansados y agobiados. En cambio, usa sesiones de entrenamiento pequeñas para que el material sea fresco y manejable.

Tu organización tuvo un puntaje alto de seguridad en esta área. ¡Buen trabajo! Todavía hay campo para mejorar, así que hemos reunido algunas recomendaciones para fortalecer la seguridad de tu organización.

Qué recomendamos:

Genera una base de conocimiento

Aunque la instrucción directa sea en persona o en línea, es útil para enseñar conceptos gruesos, tu organización no puede depender solo del entrenamiento para mejorar su seguridad. En cambio, debes crear una versión institucionalizada de este conocimiento, a la que cualquier miembro del equipo pueda acceder en cualquier momento.

Una buena solución de transición puede ser una prueba básica en línea, acompañada por un video de recapitulación de 2 a 3 minutos, para examinar el conocimiento del equipo y refrescar sus memorias.

Alternativamente, hay herramientas digitales para el aprendizaje, que a veces se conocen como “sistemas de administración de aprendizaje” (LMS por sus siglas en inglés). Nos gustan opciones de fuente abierta, como Moodle e ILIAS, o versiones comerciales como LearnDash (hecha para el sistema de administración de contenido de WordPress) o Docebo.

Puedes tener que trabajar con un proveedor de asistencia técnica para implementar esta herramienta, pero el esfuerzo puede darte dividendos. Un LMS bien diseñado puede ayudarte a capturar no solo lecciones de seguridad, sino también ayudar a tu equipo a responder preguntas cuya rapidez sea importante, sin tener que buscar un instructor. La mayoría de las plataformas LMS también provee un mecanismo de puntaje, para que puedas llevar cuenta del progreso de tu equipo.

Si prefieres una alternativa que no sea técnica, considera usar tarjetas didácticas u otros materiales impresos en la oficina, para hacer explicaciones sobre seguridad que no hayan sido planeadas. Incluso unas tarjetas de notas con preguntas relacionadas con seguridad pueden llevar a una sesión de entrenamiento de 5 a 10 minutos.

Por qué recomendamos esto:

Tu equipo puede pensar que la seguridad es intimidante o que la tecnología es abrumadora. Algunos miembros de tu equipo también podrían tener más experiencia, mientras que otros pueden estar estresados o avergonzados por su falta de conocimiento. Por eso es crítico establecer un nivel base de conocimiento de seguridad, antes de pasar a temas más avanzados.

Recuerda que cuando aprendemos un nuevo idioma o habilidad técnica la repetición, la práctica y el tiempo son necesarios. Incorporar estas estrategias a nuestro entrenamiento en seguridad puede ayudar a romper temas complejos a detalles digeribles.

Mientras el entrenamiento en persona puede ayudar a establecer un nivel base de conocimiento, tu equipo también necesita acceder a información y lecciones a su propio ritmo. Organizar un sistema de administración de aprendizaje (o cualquier otra herramienta, incluso tarjetas impresas), ayuda a superar estos vacíos, a la vez que registra lecciones de seguridad clave que tu organización ha incorporado en tu flujo de trabajo.

Un ejemplo ficticio:

Los miembros del equipo de VTA están orgullosos de una aproximación que enfrenta dificultades. Si bien no siempre saben la respuesta al problema, buscarán los recursos para solucionarlo por su cuenta.

A ellos no les gusta admitir cuando no tienen el conocimiento suficiente para solucionar un problema, incluyendo cómo mejorar su huella de seguridad. Los administradores en su sede de Ciudad de Panamá saben que la única forma de asegurarse que todos avancen con las actualizaciones necesarias de seguridad es exigir que todos los miembros del equipo tengan el mismo nivel de entrenamiento y permitirles pedir ayuda sin sentirse avergonzados.

Una vez que termina el entrenamiento inicial, no hay mucho tiempo para invertir en recordatorios. Por eso los administradores comienzan una serie de "almuerzos de aprendizaje" cada dos semanas, cuando cada oficina tiene un entrenamiento de recordatorio los miércoles, durante la hora del almuerzo. Esto les da a los miembros del equipo una oportunidad interactiva para practicar sus habilidades en un ambiente de conversación, con poca presión, pero también les recuerda la importancia de mantener sus habilidades actualizadas.

Seguridad al viajar

Tu organización tuvo básico de seguridad con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Comprende los riesgos

Los viajes son oportunidades emocionantes para romper la rutina. Cuando los miembros de tu equipo viajan, sin embargo, salen de los hábitos de seguridad a los que están acostumbrados en la oficina. Esto genera riesgos cuando realizan su trabajo en dispositivos, o acceden a información sensible. Tu sala de redacción, tu equipo y tus recursos incluso pueden verse amenazados si el periodista pierde un dispositivo personal.

Desarrolla políticas de seguridad de viaje

Mientras la mayoría de los miembros del equipo son conscientes de los riesgos que corren al viajar, hay que hacer énfasis en cuán vulnerables son cuando trabajan fuera de casa. Por ejemplo, tener una conversación abierta sobre las repercusiones de perder un dispositivo de trabajo mientras viajan podría marcar una diferencia. Otros temas que puedes querer hablar son:

¿Cómo deberían los miembros de tu equipo y tu organización lidiar con la pérdida o el robo de un dispositivo de trabajo?
¿Tu organización tiene una política de seguros para dispositivos durante los viajes del equipo?
¿Cómo pueden los miembros del equipo hacer copias de seguridad de sus datos desde sus dispositivos y recuperarlos, cuando lo necesiten?
¿Cuál es el proceso para cruzar fronteras con dispositivos o datos?
¿Cómo lidias con los viajes que se realizan a zonas donde hay una baja o nula conectividad a internet?
¿Cómo puede el equipo elegir un hospedaje y transporte terrestre seguros?
¿Cuál es el proceso para reunirte con fuentes de forma segura?
¿Qué tan frecuentemente se comunicarán los miembros del equipo mientras viajan? ¿Qué pasa si un miembro del equipo no se comunica?

Tener una conversación honesta sobre estos temas puede ayudarte a evitar riesgos en el futuro y mejorar tus políticas de seguridad de viaje.

Considera una política de dispositivos durante viajes

Mientras cada organización es distinta y los riesgos varían mucho entre países y regiones, puedes considerar el establecer políticas en torno al uso de dispositivos de trabajo durante viajes. Estas a menudo son algunas de las áreas más vulnerables, que atacan los actores externos.

Algunas organizaciones eligen preparar un dispositivo "previo a viaje", eliminando la información sensible, ciertas aplicaciones y usando solo servicios esenciales durante el viaje. Otras organizaciones prohíben al equipo que lleven sus dispositivos personales o de trabajo a un viaje, entregándoles en cambio dispositivos específicamente preparados para viajes.

Puedes querer consultar con un proveedor de seguridad, para definir cuál es la mejor solución para tu organización.

Compra seguros de viaje si es posible

Aunque son costosos, intenta dar a los miembros de tu equipo el cubrimiento de seguros apropiados, en caso que haya accidentes o heridas mientras trabajan fuera de su país. En algunos casos, tu organización puede calificar para tasas de descuento en pólizas de seguros para empleados que trabajan en el extranjero.

Qué recomendamos:

Incorpora almacenamiento en la nube

Los miembros de tu equipo entienden los riesgos que corren al viajar y las políticas de tu organización en torno a los viajes de trabajo. Puedes incluso haber elegido dar a tu equipo dispositivos solo para viajar.

Ahora puedes profundizar en las precauciones que los miembros de tu equipo toman al viajar.

Desde la perspectiva de la ciberseguridad, una de las formas más efectivas de protegerte contra el robo o daño de dispositivos mientras viajas es almacenar los datos en la nube y que estén encriptados.

Algunos de estos servicios son SpiderOak One, un proveedor con sede en Estados Unidos y Tresorit, un proveedor con sede en Suiza. Algunas soluciones de almacenamiento independiente pueden ser NextCloud u OwnCloud. También puedes usar una herramienta como Cryptomator, para encriptar localmente tus archivos y almacenarlos en tu servicio de almacenamiento de nube que no está encriptado, como Dropbox o Google Drive. Los archivos en Google Drive y otros servicios populares están encriptados, pero puede accederse al proveedor de almacenamiento de nube como respuesta a solicitudes legales.

Verifica tus contactos en el extranjero

En cuanto a la seguridad física, puedes complementar tus políticas de seguridad examinando la confiabilidad de los fixers con los que trabajes, hoteles y la logística antes de emprender el viaje. Puedes usar recursos como The Field Guide to Accommodation Security de Spartan9, para ayudarte en el proceso. Si los reporteros de tu organización están viajando a una nueva región, contacta a las salas de redacción locales y los socios sin ánimo de lucro en la zona, para que te den recomendaciones sobre contactos en los que puedan confiar.

También puedes necesitar un proveedor de seguridad para que te ayude a mejorar tus políticas de seguridad.

Qué recomendamos:

Has tenido un buen progreso en tener seguros a tus datos y tu equipo durante viajes relacionados con trabajo. Aquí hay algunos pasos adicionales que recomendamos.

Usa dispositivos exclusivos para viajar

Para mejorar tu seguridad de viaje, deberías considerar usar dispositivos específicos para viajes. Esto implica una inversión de tiempo y dinero, así como crear políticas en torno al uso seguro de estos aparatos. Sin embargo, si se usan efectivamente, los dispositivos de viajes pueden reducir considerablemente los riesgos, incluso si caen en las manos equivocadas.

Establece dónde obtener tus dispositivos para viajes y elabora una política para su uso

Identifica los tipos de dispositivos que usan los miembros de tu equipo durante su trabajo de campo. Si usan portátiles cuando viajan, considera una alternativa confiable pero de bajo costo, como un Chromebook. Para móviles, considera usar un modelo que únicamente tenga las características que necesitan para hacer su trabajo.

Una vez que hayas identificado los tipos de dispositivos apropiados para tu organización, deberás desarrollar una política clara y un proceso para manejar los dispositivos antes, durante y después de su uso. Esto probablemente incluya un proceso "previo a vuelo" para preparar el dispositivo. También podrías querer un repaso de la experiencia, una vez regrese el miembro del equipo que usó el aparato, para saber qué problemas enfrentó en el terreno. Por último, necesitarás hacer limpieza del dispositivo antes y después del viaje.

Cada una de estas fases de la administración de dispositivos puede tomar tiempo, así que deben ponerse por escrito y de forma detallada. Puedes querer trabajar con un proveedor de seguridad para implementar este proceso más fácilmente.

Otra opción es pedirle a un proveedor de seguridad que te ayude a montar una "máquina virtual". Esto te permite usar tu computadora de trabajo para acceder a otro dispositivo separado mediante un navegador de red y software como VMWare Work Station Player (Linux/PC), Fusion (Mac) o VirtualBox. Esto requiere una conexión a internet, así que puede no ser apropiado para todo tipo de trabajo en campo. Pregúntale a un proveedor si esta es una buena opción para ti.

Obtén apoyo de organizaciones externas

Si tu equipo está viajando a regiones de alto riesgo, considera contactar a una organización como Reporteros Sin Fronteras para tener más recursos, como préstamos de equipo de protección personal y demás.

Hay organizaciones similares que pueden apoyar a tu equipo tanto en casa como en el extranjero. Entre ellas están, ACOS Alliance, Article 19, Committee to Protect Journalists, International News Safety Institute, Free Press Unlimited y RISC (Reporters Instructed in Saving Their Colleagues). Los periodistas independientes pueden contactar a Rory Peck Trust para obtener recursos adicionales.

Por qué recomendamos esto:

Las organizaciones que no planean para contrarrestar los riesgos en el campo, a menudo se encuentran con muchas sorpresas. Tener una conversación abierta con tu equipo sobre la seguridad durante el viaje puede fomentar un diálogo importante sobre el riesgo dentro de tu organización y puede hacer visibles algunas vulnerabilidades que no habías notado. Usa tus hallazgos para crear políticas que mitiguen los riesgos del viaje.

Un ejemplo ficticio:

VTA tiene oficinas en varios países de América Latina. El equipo viaja a menudo por la región para reunirse con colegas en varios países o para asistir a conferencias. Si bien el equipo tiene una idea básica de cómo mantenerse seguro mientras viaja, VTA se da cuenta de que no ha hecho lo suficiente como organización en cuanto a seguridad durante los viajes. Como resultado, planea una serie de reuniones operacionales abiertas para obtener retroalimentación sobre distintos riesgos y luego inicia el proceso de escribir una política formal de seguridad de viajes.

Seguridad de los datos

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Reflexiona sobre qué es valioso y cómo protegerlo

Los datos son el flujo sanguíneo de nuestros sistemas digitales. Los datos de tu organización contienen cantidades importantes de información. Alguna es trivial (como el recordatorio en tu calendario para asistir a un almuerzo) y otra vital (como las notas de tu proyecto de investigación más reciente).

Muchas personas tienen acceso a tremendas cantidades de datos, a menudo más de los que necesitan para hacer bien su trabajo. Un atacante, sin embargo, puede hacer mucho daño cuando logran este acceso. Una forma efectiva de reducir tu riesgo digital es reducir también el acceso a datos innecesarios dentro de tu organización.

Si solo estás comenzando a administrar tus datos, es útil comenzar con los siguientes pasos.

Entiende la conexión entre retención y protección

Recuerda esta regla básica cuando se trata de administrar tus datos: "si no está ahí, no lo pueden robar". Por ejemplo, si tu colega no necesita 10 años de notas de reportaje en su portátil, encuentra un lugar más seguro dónde almacenar esa información. Considera si todos en tu organización necesitan tener acceso a una década de emails o todo el directorio del equipo. Determinar qué datos son valiosos y necesitan protección adicional te ayudará a tomar los siguientes pasos de forma apropiada.

Lidera un ejercicio de categorización de datos

Piensa en tomar esta medida directa y efectiva: haz una lista de las principales fuentes de datos dentro de tu organización y determina quién realmente necesito acceso a ellas. Esto puede incluir archivos de email, directorios del equipo, registros financieros y detalles sobre proyectos de reportaje.

Luego, clasifica los datos basado en qué tan sensible es la información dentro de cada grupo. Dependiendo de la sensibilidad de los datos, puedes determinar si el equipo debería tener acceso permanente, solo durante una ventana de 30 días, o incluso durante bloques de tiempo supervisados de 24 horas.

Por ejemplo, más miembros del equipo podrían acceder durante más tiempo a los datos que almacenes para historias que son menos sensibles (como las historias de arte y cultura), en comparación a las más sensibles (como investigaciones sobre corrupción o crimen).

Si bien estos pasos pueden parecer difíciles de tomar, cambiar cómo ha operado hasta ahora el acceso a datos dentro de tu organización puede ayudarte a reducir el riesgo de que un error genuino conduzca a una violación de datos.

Qué recomendamos:

Reduce la cantidad de datos que guardas y el tiempo que lo haces

El correo electrónico es un área clave que las organizaciones tienden a descuidar cuando se trata de conservar buenas prácticas de datos. Las bandejas de entrada muchas veces están repletas de mensajes sin leer, mientras que los archivos de emails enviados se remontan años. En algunos casos, las salas de redacción incluso permiten que las comunicaciones sensibles se queden en bandejas de entrada durante meses.

Para mejorar las políticas de administración de datos, piensa en instituir un límite a la cantidad de email que se almacena en las bandejas de entrada de tu equipo. Archivar email es una práctica relativamente fácil que no borra o elimina el mensaje en sí. En cambio, esta práctica elimina una serie de emails de la bandeja activa, para archivarlos en un lugar más seguro. Un proveedor de asistencia técnica te puede ayudar con este proceso.

Para comenzar, puedes archivar todo el email de las bandejas de entrada de tu equipo que tenga más de cinco años. Una vez tu equipo se ha ajustado a este cambio, intenta cambiar el límite a los emails que tengan más de tres años. Algunas organizaciones tienen exigencias legales de mantener emails en un formato accesible, así que consulta con un abogado antes de determinar la política adecuada para tu organización.

Aunque este proceso puede tomar mucho tiempo, tener un número limitado de emails en las cuentas de tu organización reduce considerablemente el riesgo de que seas víctima de una violación de datos. Esto es particularmente cierto si tu equipo utiliza su email para contactar fuentes durante sus reportajes.

Una vez que has archivado los emails, trabaja con un proveedor técnico para determinar cómo categorizar los datos que quedan según lo sensibles que sean. Algunos datos, como registros financieros o de impuestos, son sensibles y deben archivarse en almacenamiento encriptado. Otros pueden no necesitar un nivel tan alto de protección.

Asegúrate de instituir una política de copias de seguridad y que una copia de tu información sea almacenada regularmente de forma segura. Un proveedor de asistencia técnica puede asesorarte sobre el mejor proceso de copia de seguridad que cumpla con todas tus necesidades, aunque recomendamos que sea al menos una vez cada trimestre.

Qué recomendamos:

Planea cómo mantener tu organización funcionando

Si ninguno de nosotros quiere experimentar una disrupción en el trabajo de nuestra organización, tenemos que planear para mantener nuestras operaciones funcionando en caso de enfrentar un reto. Este proceso se conoce como "plan de continuidad del negocio" y es distinto en cada organización. Para muchas salas de redacción, la continuidad implica poder seguir tu cubrimiento, incluso durante una crisis o un evento inesperado.

Un elemento clave de la continuidad empresarial es la habilidad de acceder a tus datos y continuar con tus actividades, incluso cuando físicamente no estás en tu oficina o en tu dispositivo de trabajo. Esto quiere decir que tu actual política de copias de seguridad debe ser lo suficientemente robusta para permitirte mantener tus operaciones utilizando la copia de seguridad más reciente. Pregúntate durante cuánto tiempo podrías usar tu copia de seguridad más reciente para mantener tus operaciones funcionando. Si la respuesta es más pronto de lo que esperarías, considera aumentar la frecuencia de copias de seguridad en tu organización.

Si aumentas la frecuencia de copias de seguridad, también deberías aumentar la cantidad de tiempo que inviertas en practicar cómo restaurar tus copias de seguridad.

Recomendamos hacer pruebas de copias de seguridad al menos una vez al año e idealmente cada seis meses. No quieres tener que depender en un proceso de copias de seguridad que no hayas puesto a prueba.

Las copias de seguridad también son protecciones esenciales contra amenazas de secuestro de datos (ransomware). Esta es una modalidad de software malicioso que encripta los datos en tu dispositivo hasta que pagues una cierta cantidad de dinero. Si tienes una copia de seguridad previa de tu dispositivo almacenada en un lugar separado de tu dispositivo (en un disco duro externo o en la nube, por ejemplo), puedes "echar para atrás el reloj" de tus datos, en un momento previo al ataque. Esto te permite recuperar acceso a los datos que guardaste antes de que fueras víctima del secuestro de datos.

“Hiper-categoriza” tus datos

Puedes trabajar con un proveedor de datos para seguir el proceso de categorización de datos. Ahora que has determinado qué miembros de tu equipo van un paso más allá, e hiper-categorizar también el acceso. Por ejemplo, tu equipo de contaduría puede tener la necesidad de acceder a registros financieros sensibles, pero solo el administrador de ese grupo podría tener acceso a los registros del personal. Esta categorización de datos en escalas puede mejorar la seguridad de los datos en tu organización.

Por qué recomendamos esto:

Al igual que el correo físico, las piezas importantes de datos pueden apilarse en una esquina si no se organizan. Esto le facilita a un atacante apoderarse de datos sensibles simplemente accediendo a tus cuentas y poniendo en riesgo tus reportajes, equipo y fuentes. Realizar un ejercicio de categorización de datos ayuda a tu equipo a identificar qué información necesitan con frecuencia y cuál puede guardarse en otro lugar de forma segura.

Mantenerse seguro implica un equilibrio entre la conveniencia y la seguridad. Instituir una política de archivo de email, por ejemplo, puede eliminar emails sensibles de bandejas de entrada, mientras siguen siendo accesibles en un archivo. Esto también es un buen primer paso a medida que conduces a tu organización hacia la categorización rutinaria y almacenar datos basado en cuán sensibles son.

La seguridad de datos no solo está enfocada en impedir ataques de fuera de la organización. Mantener los datos seguros también hace que una organización sea funcional durante una crisis, cuando los miembros del equipo pueden ser incapaces de acceder a sus oficinas o dispositivos de trabajo.

Un ejemplo ficticio:

Cuando era una organización joven, VTA trabajó con poco conocimiento tecnológico y un presupuesto apretado. Ahora que es una organización periodística bien establecida, VTA está mejorando su vieja tecnología. Esto quiere decir que el equipo ahora migra buena parte de los datos que están en bandejas de entrada y cuentas en línea a almacenaje seguro en la nube y en medios físicos.

Esta situación es relevante cuando la oficina de Puerto Rico se ve sacudida por un terremoto. Dado que el edificio se encuentra cerca del epicentro, los miembros del equipo no son capaces de regresar durante semanas. Por suerte, desde la oficina central se tiene acceso datos críticos encriptados en la nube, y por lo tanto pueden obtener acceso temporal a la oficina de Puerto Rico, para continuar con las noticias después del terremoto.

Seguridad del sitio web

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Para las organizaciones periodísticas, el portal es su voz al mundo y parte de su imagen pública. Como resultado, las personas que quieren dañar tus reportajes, pueden atacar tu portal. Por suerte, hay pasos básicos que puedes tomar para fortalecer tu presencia en la red. Aquí tres medidas que puedes tomar, con la ayuda de un proveedor de asistencia técnica, para mejorar la seguridad de tu portal.

Comprende e implementa el HTTPS

Cuando visitas un portal, a veces puedes ver las letras "http" al inicio de la dirección en la red. Esto le permite al portal comunicarse y dar instrucciones a tu navegador. En los días cuando la internet era nueva, HTTP era la forma estándar de comunicación. Ahora hay una forma más segura: HTTPS. Esta también les da más seguridad a los usuarios que visitan tu portal. Esto quiere decir que, si buscan información sensible o te envían información a través de un formulario, sus datos están encriptados para ojos externos.

Los motores de búsqueda populares, como Google, señalan que los HTTPS son inseguros, lo cual también reduce la cantidad de personas que se sienten cómodas visitando tu portal. Esto quiere decir que deberías tener HTTPS habilitado en tu portal. Puedes leer más en este artículo de CloudFlare.

Reduce los riesgos de ataques DDOS

Si hay alguien a quien le disgustan tus reportajes, una estrategia que podrían usar es forzar que tu portal temporalmente quede fuera de servicio. Un proveedor de asistencia técnica calificado puede ayudar a reducir la vulnerabilidad a estos ataques al instalar una red de distribución de contenido (CDN, por sus siglas en inglés). Una CDN entrega los contenidos de tu portal desde distintos lugares de la red, reduciendo así tu dependencia en un único punto que podría fallar cuando es objeto de un ataque DDOS. Puedes leer más sobre estos ataques en este artículo de CloudFlare. El servicio gratuito Galileo, de CloudFlare, y el servicio también gratuito de Google, Project Shield, son CDN ideales para las organizaciones de la sociedad civil, como lo es también el servicio Deflect, de Equalite.

Comprende cómo el "dorking" de Google puede hacerle daño a tu organización

A pesar del nombre ridículo, el "dorking" de Google es una amenaza seria para las organizaciones periodísticas. Esta práctica implica usar un motor de búsqueda popular, como Google, para buscar vulnerabilidades en portales específicos. Por ejemplo, si tu portal tiene un trozo de código de una aplicación desactualizada, los buscadores pueden usar Google para ubicar y atacar páginas inseguras. Puedes trabajar con un proveedor de asistencia técnica para identificar áreas de tu portal que necesitan ser actualizadas para protegerte contra esta práctica.

Mantén tu portal actualizado

Muchos portales periodísticos funcionan con sistemas de administración de contenido (CMS, por sus siglas en inglés), que permiten a usuarios que no tienen un conocimiento técnico profundo mantener el portal y los artículos actualizados. Al igual que con todo software, debes actualizar tu CMS cuando haya nuevas características y actualizaciones de seguridad. También deberías actualizar plugins o temas (el código que provee la imagen y estilo de tu portal) para bloquear cualquier vulnerabilidad. Un proveedor de asistencia técnica puede ayudarte a mantener tu CMS actualizada regularmente.

Si no tienes los recursos para mantener tu portal actualizado, considera cambiar a un proveedor de hosting como Wix o Squarespace. Por un pago mensual, estos servicios se actualizan automáticamente e implican menos tiempo de mantenimiento que un portal con hosting independiente.

Tu organización tuvo un razonable de seguridad en esta área. ¡Buen trabajo! Todavía hay campo para mejorar, así que hemos reunido algunas recomendaciones para fortalecer la ciberseguridad de tu organización.

Qué recomendamos:

Has tomado una serie de pasos concretos para reducir las vulnerabilidades de tu portal. Ahora puedes volcar tu atención en la información que incluyes en él. Además de encontrar lagunas técnicas en tu portal, los atacantes decididos también revisarán a profundidad el portal en sí mismo, buscando información valiosa. Esta información puede incluir detalles sobre tu organización, como dónde está ubicada y los miembros del equipo que pueden utilizar para hacer más ataques. Aquí hay dos pasos que puedes considerar para reducir tu riesgo.

Comprende la conexión entre acoso en línea y físico

Aunque el acoso en línea y el doxxing (la publicación de información privada en línea) pueden parecer riesgos digitales, también pueden ser señales de advertencia de que podría haber acoso físico. La información filtrada, como direcciones de domicilio, pueden causar riesgo de daño físico a los miembros del equipo, y los ataques de trolls en redes sociales pueden indicar un riesgo de acoso físico. No asumas que los ataques en línea solo permanecen en línea y considera mejorar tu seguridad física.

Haz una revisión profunda de tu portal y perfil de redes sociales para determinar qué información es innecesaria

Las personas que quieren perjudicar tus reportajes, usarán cualquier información disponible para hacer más efectivos sus ataques. Esto incluye usar detalles en apariencia inocentes en tu portal o perfil de redes sociales. Por ejemplo, compartir nombres completos, fotografías del equipo y detalles biográficos de periodistas en tu portal puede permitir que un atacante identifique más fácilmente a su objetivo.

Considera el no emplear fotografías del rostro de miembros del equipo en tu portal y redes sociales como LinkedIn, y ten cuidado cuando compartas detalles sobre trabajos de reportajes y su ubicación. Escribe tus requisitos en una política oficial de la organización, para que tu equipo también siga las guías apropiadas.

Qué recomendamos:

Ahora que tienes HTTPS y CDN activos, considera trabajar con un proveedor de asistencia técnica para monitorear más de cerca cómo se usa tu portal. Aquí hay tres pasos clave que puedes tomar para mantener un alto nivel de vigilancia.

Activa límites de parámetros

Las personas que quieren afectar tu trabajo periodístico usarán cualquier canal disponible para frenar o limitar tu trabajo de reportaje. Esto puede incluir el manipular características útiles de tu portal, como formularios de contacto en línea u otras herramientas, que pueden abrumar con solicitudes automatizadas. Para reducir este riesgo, puedes trabajar con un proveedor de asistencia técnica para activar límites de parámetros, que reducen el número de intentos que un usuario individual puede realizar para hacer uso de una característica de tu portal. Puedes leer más sobre los límites de parámetros en este artículo de Google.

Considera quién puede ingresar a tu portal

Usar un sistema de administración de contenido (CMS) puede ahorrarte tiempo y esfuerzos cuando actualices tu portal con nuevos artículos. Sin embargo, estos sistemas exigen que los usuarios ingresen al portal desde una página de ingresos. A no ser que tomes pasos proactivos, un atacante puede acceder a esta página de ingresos, determinar cuál CMS estás usando, y tratar de forzar su entrada.

Hay pasos que puedes tomar para mitigar el riesgo con grados variables de complejidad técnica. Uno de los pasos más sencillos es activar una autenticación de dos factores en tu portal CMS, que implica un paso adicional para ingresar. También puedes trabajar con un proveedor técnico para activar un sistema de inicio de sesión único (SSO, por sus siglas en inglés) que les permita a los miembros de tu equipo usar un ingreso principal en toda la organización. Esto mejora la facilidad de uso y la seguridad, aunque puede ser complicado de instalar. Por último, puedes trabajar con un proveedor para limitar el acceso a la página de ingreso solo a una lista pre-aprobada de usuarios, que también requeriría el uso de una red virtual privada (VPN, por sus siglas en inglés).

Monitorea tus analíticas y el tráfico

Si te preocupan ataques desde una región o un país en particular, puedes usar analíticas, que son los datos que tu portal recoge, para rastrear las fuentes de tráfico. Un pico en el uso desde un país en particular puede ser una advertencia, así como cambios súbitos en la fuente del tráfico o los portales que están redireccionando el tráfico hacia el tuyo.

Además, deberías monitorear los términos de búsqueda que traigan usuarios a tu portal. Los términos negativos o amenazantes pueden indicar que hay una campaña contra la reputación de tu organización. Si trabajas con un proveedor de seguridad, puedes usar estos términos de búsqueda para identificar la fuente de los ataques. Un buen proveedor puede también mostrarte cómo monitorear usuarios específicos de tu portal que están ligados a regiones, países o conexiones de internet que has identificado como riesgosas.

Por qué recomendamos esto:

Asegurar tu portal puede impedir desde la desfiguración embarazosa de tu portal hasta intrusiones dañinas. Por fortuna, hay pasos básicos que puedes tomar para "fortalecer" tu portal, usando servicios ampliamente disponibles. Aunque estos no impiden ataques altamente sofisticados, harán que tu portal sea un objetivo más difícil, desalentando amenazas de bajo nivel.

Muchas organizaciones creen que la amenaza principal es un ciberataque. En realidad, los atacantes pueden usar información disponible para hacer ingeniería social y otro tipo de amenazas. La ingeniería social ocurre cuando un atacante se centra en la parte más débil de una organización: las personas que trabajan allí. Un ejemplo de un ataque de ingeniería social es cuando un atacante se hace pasar por un miembro del equipo para acceder a información que tiene un tercero, como un vendedor, sobre los sistemas de computación de tu organización. Otro ejemplo es cuando un atacante espera afuera de una puerta con llave con un paquete de entrega falso, hasta que alguien los deja entrar.

Eliminar información innecesaria sobre tu equipo y sus proyectos te puede ayudar a limitar la cantidad de detalles que un atacante puede encontrar en tu portal. Esto implica un equilibrio entre transparencia con el público y no compartir detalles muy sensibles. Una buena forma de encontrar el equilibrio adecuado es evaluar el trabajo de tu organización junto con el clima de riesgo. Aquí no hay una respuesta correcta o equivocada. Haz lo que sea mejor para tu organización en este momento específico.

Un ejemplo ficticio:

La administración de VTN, al ser esta una organización periodística centrada en temas ambientales y culturales, no creía que necesitaba mucha seguridad para su portal. Sin embargo, cuando notaron picos inusuales de tráfico desde países donde no tenían oficinas, les preocupó que podrían ser el objetivo de un ciberataque. Para ayudar a reducir el riesgo de ataques, implementaron algunas recomendaciones básicas, entre ellas activar HTTPS e instalar un CDN.

Otra amenaza surgió cuando contrataron a un nuevo periodista de investigación en su oficina de Uruguay. El nuevo miembro, un reportero ambiental bien conocido, generó controversia por su investigación y recibió una amenaza poco tiempo después de ser contratado, mientras iba a una presentación en el colegio de su hijo. Los miembros del equipo de VTA cayeron en cuenta de que el nuevo periodista había mencionado que su hijo iba a ese colegio en la biografía de su portal, lo cual facilitó que un adversario lo ubicara allí. Como respuesta, la organización eliminó cualquier información específica de las biografías de miembros del equipo en el portal.

Seguridad de la oficina

Tu organización tuvo un nivel básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Aquí hay dos pasos que puedes tomar para ayudar a reducir los riesgos de seguridad física en tu organización, cuando trabajes en la oficina, en un espacio público o en tu hogar.

Establece una política de entrada

Implementa una política de entrada como "última línea de defensa" para controlar el acceso a tu espacio de oficina, así tu organización esté ubicada en un edificio, en espacios de oficina compartidos o en los hogares de los miembros del equipo. Implementar una política de identificación obligatoria puede añadir una barrera adicional a tu horario, pero te permite tener un registro claro de quién entra a tu espacio. Si bien requerir identificación adecuada no detendrá a un atacante decidido, puede detener amenazas oportunistas de bajo nivel por parte de personas que están poniendo a prueba tus defensas. Si tu equipo trabaja por fuera de la oficina y tiene reuniones en persona, considera ampliar esta política para que los individuos deban mostrar un documento de identificación antes de una reunión cara a cara (que idealmente no debería suceder en la oficina casera de un empleado, sino en un lugar público).

Establece una política de "escritorio limpio"

Al final de un día ocupado de trabajo, resulta tentador dejar dispositivos, papeles y archivos en los escritorios hasta el día siguiente. Aunque es conveniente, esto supone un objetivo fácil para que los atacantes logren entrar en horarios que no sean los de oficina. Instituye una política de escritorio limpio, que exija a los miembros del equipo asegurar sus dispositivos y papeles en un espacio bajo llave, antes de dejar la oficina al final del día. Esta misma política debería aplicar en las distintas oficinas, e incluso si los miembros del equipo trabajan desde su hogar. Puede ser útil imprimir una lista de verificación para que los miembros del equipo la dejen sobre sus escritorios como recordatorio.

Qué recomendamos:

Has tomado algunos pasos importantes hacia mejorar la seguridad de la oficina de tu organización. Al igual que con todos los aspectos de la seguridad, sin embargo, la seguridad exige una aproximación flexible, que se ajuste a medida que cambien las amenazas. Una de las formas más efectivas de determinar si tu política actual cumple tus amenazas actuales es realizar un ejercicio entre oficinas.

Realiza un ejercicio de "última persona al salir".

Para medir si la política de escritorio limpio de tu organización es tan efectiva como debería ser, conduce un ejercicio de "última persona al salir". Si tienes múltiples oficinas, puedes pedirles a miembros del equipo en las distintas regiones que colaboren. Si trabajan desde su hogar, pueden realizar esta prueba ellos mismos. Cuando la última persona de la oficina salga al final del día, elije a un miembro del equipo para que entre en la oficina poco después y anote qué se dejó abierto y qué ha sido adecuadamente asegurado.

Este ejercicio no está diseñado para señalar públicamente a alguien que podría ser negligente con las reglas. Su intención es notar oportunidades perdidas que podrían tener que ser incorporadas en tu política de escritorio limpio. Por ejemplo, puedes tener que diseñar reglas para la última persona que salga de la oficina y desplegarlas en un espacio público visible. Para los miembros del equipo que trabajan de manera remota, pueden usar impresiones para recordarles cualquier paso necesario.

Crea un sistema de mínima seguridad viable

Los sistemas de seguridad física pueden ser complejos, involucran monitoreo de video y audio, tarjetas de entrada y registro de visitas. Si aún no tienes un sistema de seguridad, no tienes que comenzar con la opción más avanzada. Trabaja con un proveedor de seguridad para implementar una solución de bajo costo, usando equipo básico como un móvil dedicado a esto o una cámara streaming. A medida que aumenta tu nivel de amenaza o aumenta tu presupuesto, puedes implementar una solución más elaborada.

Qué recomendamos:

Ahora que has puesto a prueba la política de seguridad de la oficina y un sistema de seguridad básico, puedes ir un paso más allá y asegurarte de tener más control sobre la información que sale de tu oficina. Una de las vulnerabilidades más comunes en muchas oficinas es el uso de documentos impresos. Si ya has asegurado quién puede entrar a tu oficina y a qué pueden acceder, también necesitas controlar el material impreso que sale en botes de basura o contenedores para reciclaje.

Asegúrate de que tu equipo haga trizas todos los documentos físicos

Implementa un documento para hacer trizas documentos que sea válido para varias oficinas, en lugar de arrojar papeles a la basura. Esto reduce la cantidad de material impreso que alguien de afuera puede acceder desde tus operaciones. Una política obligatoria para hacer trizas documentos puede ayudar a tu equipo a incorporar la práctica en su flujo de trabajo. Compra máquinas individuales para hacer trizas documentos, de manera que estén disponibles para cada escritorio. Si los miembros de tu equipo trabajan remotamente o desde casa, asegúrate de que tengan una máquina para hacer trizas papeles y estén además cumpliendo con la política.

Por qué recomendamos esto:

Es fácil olvidar los riesgos de la oficina porque, como seres humanos, caemos naturalmente en patrones de comportamiento. Si rutinariamente dejamos nuestro portátil sobre el escritorio al final del día, por ejemplo, podemos ver esto como normal y no como riesgoso. Echar otro vistazo a nuestros patrones diarios de comportamiento puede ayudarnos a ver qué acciones nos ponen en riesgo. Instalar un sistema de seguridad básico también puede proveer un nivel extra de protección para los momentos que no anticipamos en nuestras políticas.

Sin políticas formales, los profesionales ocupados probablemente olvidan un paso importante, especialmente al final del día. Instituir guías claras y exhibirlas en espacios públicos (o pedirles a los miembros de tu equipo que los exhiban en su hogar) puede ayudarles a seguir las mejores prácticas.

Aunque las amenazas digitales son críticas, es importante no pasar por alto otras fuentes de información sensible. Estas a menudo vienen de lugares impredecibles, como la basura que desecha tu oficina o los documentos impresos que tus periodistas llevan a casa. Implementar una política de hacer trizas documentos en tu oficina puede reducir la probabilidad de que los materiales impresos inadvertidamente dejen de estar en tu poder.

Un ejemplo ficticio:

La sede de Voz de la Tierra Americana es una oficina agitada en Panamá. A pesar de que el edificio les exige a los individuos que firmen un registro al entrar, hay poca vigilancia una vez que alguien entra a las oficinas. Luego de un reporte de que ladrones entraron a una oficina en un piso inferior, la administración de VTA instituyó una política de escritorio limpio para que los miembros del equipo aseguren el material valioso al final del día. Cualquiera que entre a la oficina durante el día también debe mostrar identificación y verificar su identidad con el administrador de la oficina que está ubicado a la entrada.

Entretanto, las oficinas de VTA en Ciudad de Guatemala se trasladaron a una nueva ubicación. Una noche, durante un día laboral, un hombre en una motocicleta amenazó a un periodista de VTA y se alejó en su vehículo. Como respuesta, los administradores de VTA en Ciudad de Guatemala realizaron el ejercicio de “última persona al salir” para asegurarse de que su equipo está siendo protegido cuando salen de la oficina al final del día. Finalmente, implementaron una serie de pasos que incluyeron exigir que los miembros del equipo salgan de la oficina en parejas.

Enviando mensajes y colaborando

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Tu organización solo es efectiva si los miembros de tu equipo se pueden comunicar entre sí y con sus fuentes. Sin embargo, en un ambiente de trabajo remoto, agitado y con un ritmo veloz, es fácil cambiar la seguridad por la conveniencia. Por fortuna, hay formas de incorporar herramientas de comunicación y colaboración más seguras sin desacelerar tu flujo de trabajo.

Comprende los riesgos de las comunicaciones no encriptadas

Si los miembros de tu equipo no están familiarizados con la ciberseguridad, pueden haberse comunicado usando tecnología no encriptada, como el móvil estándar o el email, incluso con fuentes sensibles. Como resultado, quizás no entienden la cantidad de información que puede ser hackeada, descubierta mediante vigilancia o capturada mediante solicitudes legales y gubernamentales, cuando se usa comunicación no encriptada. Esto es particularmente cierto cuando los periodistas están trabajando historias sensibles que afectan grupos poderosos, que tienen la capacidad de interceptar canales regulares de comunicación. Por ejemplo, un mensaje de texto no encriptado con una fuente podría ser interceptado por un gobierno o una organización criminal con acceso a software de espionaje.

El educar a los miembros de tu equipo en cómo funciona la encriptación es un buen comienzo. Una lectura útil es Comunicándote con otros de la Electronic Frontier Foundation, disponible en su currículo Surveillance Self-Defense. Si estás usando un número de móvil exclusivamente para el trabajo, considera cambiarte a voz por protocolo de internet (VOIP, por sus siglas en inglés), un número que se conecta a través de internet. Puedes encontrar estos números en servicios como Google Voice o Skype, y te permiten no usar una tarjeta SIM específica a un país en tu móvil. Usar un número VOIP también te protege de amenazas como simuladores de torres de telefonía o Stingrays y vulnerabilidades en la tecnología móvil, como los ataques SS7.

Comienza a introducir alternativas encriptadas

No esperes que tu equipo comience a usar nuevas tecnologías de un día para otro. Para facilitar el uso de comunicaciones encriptadas, introduce estas plataformas gradualmente, quizás primero a los periodistas que se comunican con las fuentes de más alto nivel, antes de hacerlas obligatorias. Puedes felicitar públicamente a los miembros que las adoptan al inicio. Quienes se resisten pueden volverse miembros de un grupo de trabajo dedicado a adoptar las herramientas, lo que hace más probable que las usen.

Al momento de escribir este texto, hay algunas herramientas de comunicación que recomendamos, como las aplicaciones de mensajes Signal y Wire. También podrías querer considerar una aplicación de mensajes para el lugar de trabajo con red propia, como Mattermost o la herramienta de colaboración Element, alternativas a software como Slack. Un proveedor de asistencia técnica puede ayudarte a activar cualquiera de estas herramientas, o encontrar alternativas.

Entiende cuándo y qué plataforma usar

Al principio, los miembros de tu equipo no necesitan plataformas encriptadas para todo. En cambio, reserva el uso de herramientas encriptadas solo para las historias más sensibles. Esto también les ayuda a los miembros del equipo a asociar las herramientas encriptadas con altos niveles de seguridad y privacidad que no son posibles con las herramientas estándar.

También es importante establecer políticas en torno a cuándo usar comunicaciones encriptadas con fuentes. Una buena práctica para muchas organizaciones periodísticas es comunicarse con las fuentes usando la plataforma que ellas elijan y luego pedir su permiso para pasar a una plataforma encriptada más segura, si es necesario.

Desarrollar una política de protección de fuentes

Como organización periodística, dependes de tus fuentes, tanto públicas como anónimas, para recibir la información crítica que te permite publicar historias. También les debes a tus fuentes algún grado de protección a cambio del riesgo que toman para contactarte. Por ejemplo, si aceptas mantener una fuente anónima, debes cumplir ese compromiso incluso bajo presiones legales o políticas.

Cada organización maneja la protección de fuentes de forma distinta y debes elegir las políticas de protección que se ajusten a tu contexto. Algunas políticas de protección de fuentes comunes incluyen:

Comunicarte con fuentes que utilizan los canales de comunicación con los que las fuentes se sienten más cómodas.
Ofrecer canales de comunicación encriptados para información sensible.
Informar claramente a las fuentes sobre los riesgos que implica compartir información.
Acordar reuniones en persona con fuentes en lugares seguros.
Asegurar cualquier nota de reportaje o datos relacionados con la fuente que podrían exponerlos de forma electrónica o física (por ejemplo, encriptando notas relevantes o asegurando cuadernos de notas bajo llave).

Aquí hay 12 principios clave para tener en cuenta cuando establezcas una política de protección de fuentes.

Qué recomendamos:

Ya has adoptado un software de mensajes encriptados como Signal o una herramienta de colaboración como Element. Los miembros de tu equipo están incorporando estas herramientas a su flujo de trabajo y comprenden la diferencia entre comunicación encriptada o no encriptada. Aquí hay tres pasos adicionales para mejorar la seguridad de tus comunicaciones.

Intenta usar ajustes más avanzados

Muchas herramientas encriptadas, como Signal y Wire, tienen ajustes más avanzados que te permiten elegir durante cuánto tiempo deberían existir tus mensajes antes de borrarse automáticamente, así como la habilidad para eliminar y archivar datos que ya no necesitas. Incorpora estos ajustes más avanzados gradualmente, en particular puedes querer activar la función de borrar automáticamente los mensajes cada 24 horas cuando trabajas un tema sensible.

Crea una política de cuánto tiempo almacenar los mensajes

Entiende que los datos tienen cierta permanencia, incluso cuando se encriptan. Si no necesitas almacenar meses de mensajes o años de proyectos en tus herramientas de comunicación, tanto encriptadas como no encriptadas, considera implementar una política de almacenamiento. La mayoría de las herramientas te permiten exportar mensajes fácilmente a un archivo en un dispositivo de almacenamiento alterno. Si no sabes cómo hacer esto, tu proveedor de asistencia técnica puede ayudar.

Provee lineamientos claros sobre la comunicación

Las herramientas encriptadas sólo son poderosas cuando se usan apropiadamente. Para ayudarle a tu equipo a saber qué plataforma elegir para qué historia, crea una guía clara de comunicación con tu equipo. Deberían entender cuándo cambiar de una herramienta no encriptada, como Mattermost o Slack, a una herramienta encriptada, como Signal. El equipo debería también entender cómo usar cada una de estas herramientas y ser capaz de identificar cuáles están encriptadas y cuáles no.

Las mismas guías deberían aplicar para comunicarse con fuentes. Los periodistas deben entender cuándo es apropiado comunicarse con fuentes por canales no encriptados y cuándo es necesario cambiar a canales encriptados.

Adicionalmente, las guías deberían incorporar la idea de la fragmentación o ampliar tus comunicaciones en varias plataformas distintas. Si tu organización hace todo su trabajo en Slack, por ejemplo, corres el riesgo de afectar significativamente la plataforma en caso de un hackeo, violación o interrupción del servicio. En cambio, trata de distribuir tu trabajo (y riesgo) en distintas herramientas de colaboración.

Qué recomendamos:

Tu equipo ha adoptado ampliamente las herramientas de comunicaciones encriptadas y comprende cuándo usarlas de forma apropiada tanto internamente como con las fuentes. Ahora puedes tomar un paso adicional para ayudar a mejorar la comunicación y colaborar usando herramientas encriptadas.

Categoriza su uso según la sensibilidad

Ya has trabajado con tu equipo para entender cuándo usar herramientas encriptadas en lugar de las no encriptadas. Para tener un nivel de seguridad adicional, comienza a categorizar su uso de herramientas encriptadas según la sensibilidad de la información o el proyecto. Por ejemplo, puedes designar como urgentes y muy sensibles las comunicaciones que permanecen en Signal, pero el trabajo sensible de una historia en particular solo se lleva a cabo en una plataforma colaborativa encriptada, como Element. Impedir que la información se acumule en un solo lugar hace más difícil que un adversario acceda de una sola vez a toda tu información sensible.

Intenta usar varias herramientas colaborativas

Tu equipo ya está familiarizado con la idea de la fragmentación o ampliar su trabajo en distintas herramientas. Cuando trabaja en un proyecto de alta sensibilidad, podría incorporar la idea de fragmentación también a las herramientas encriptadas. En este caso, los miembros del equipo realizan todo su trabajo sobre un proyecto sensible en herramientas encriptadas, pero en lugar de depender de una única plataforma de encriptación, lo dividen en varias herramientas de colaboración. Por ejemplo, la investigación de la historia podría hacerse en Element, mientras la planeación de la historia se hace en Wire. Esto disminuye la cantidad de información a la que un atacante podría obtener si lograra acceder a tus mensajes.

Por qué recomendamos esto:

La comunicación encriptada puede ayudar a que los mensajes, datos y fuentes de tu organización sean más seguros. Implementar los mensajes encriptados y las herramientas de colaboración también introduce las ventajas de la compartimentalización, que ayuda a asegurarte que los datos sensibles de tu organización no estén en un solo sistema.

La comunicación encriptada es más efectiva cuando los usuarios entienden cómo usar los ajustes avanzados de la mejor manera, como la desaparición de los mensajes y la retención de datos. Puedes querer considerar documentar formalmente las recomendaciones de tu organización en tu política de seguridad, para que los usuarios comiencen a usar estas herramientas rápidamente y fácilmente.

Un ejemplo ficticio:

Los periodistas de VTA en Chile usan comunicaciones no encriptadas para llegar a quienes están en zonas rurales. Estas comunicaciones incluyen información sensible, como los detalles de la historia y credenciales de acceso a las cuentas de la oficina. Cuando un terrateniente influyente que se ha opuesto a los reportajes de VTA se hace al poder de una corporación nacional, los administradores de VTA se dan cuenta de que deben tomar pasos adicionales para mantener más seguras sus comunicaciones. Como resultado, implementan un servicio de mensajes encriptados en las oficinas del país y establecen lineamientos claros para los periodistas, sobre qué canal usar en determinados contextos.

Riesgos legales

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Los riesgos legales pueden ser complejos. Las leyes que gobiernan las organizaciones periodísticas varían de un país a otro, e incluso de región a región. Como organización periodística, es vital que tengas un conocimiento básico de tus responsabilidades y restricciones legales, así como de cualquier riesgo que puedas correr por demandas u otras acciones legales. Si nunca antes te has reunido con un abogado, aquí hay dos consejos para comenzar:

Edúcate con respecto a las leyes de prensa de tu país y región

Las leyes de prensa pueden ser complicadas, pero tu equipo puede aprender lo básico. Unos recursos excelentes (además de un abogado en tu área) son Media Defence y el International Center for Not-For-Profit Law.

Reúnete con un abogado

Mientras esto puede parecer una sugerencia obvia, encontrar a un abogado calificado en tu zona de trabajo puede ser difícil. Si puedes reunirte con un abogado para hablar de tu organización, asegúrate de que discutan áreas relacionadas con los riesgos legales. Estas incluyen temas como leyes de difamación, leyes de libertad de expresión y gobernabilidad en internet. Sin embargo, los temas pueden variar. Si no puedes reunirte con un abogado, busca un consultorio legal en una universidad o un académico o investigador del derecho. Muchos abogados están dispuestos a trabajar ad honorem con salas de redacción, pero este no siempre es el caso.

Un buen recurso para encontrar abogados calificados en tu región es la International Bar Association, que apoya a los abogados en todo el mundo.

Qué recomendamos:

Te has reunido con un abogado para discutir riesgos legales en tu sala de redacción y quizás ahora tienes un abogado o apoyo legal para las emergencias. Incluso con estos pasos, todavía enfrentas vulnerabilidades legales que pueden reducir usando principios de ciberseguridad. Aquí te explicamos cómo.

Identifica y archiva datos

Aunque los sistemas legales cambian de un lugar a otro en el mundo, la mayoría de las demandas tienen un periodo de "investigación" en la que los abogados pueden pedir documentos. Mientras esta fase antes se centra en los documentos físicos, los abogados ahora solicitan una amplia cantidad de información electrónica que puede ser útil para su caso, como correos electrónicos, mensajes instantáneos e incluso mensajes en plataformas de colaboración como Slack. Esto incluye comunicaciones sensibles sobre tus reportajes y tus fuentes.

Mientras hay información que puede usarse para fines legales, las llamadas demandas "molestas" o frívolas pueden también forzar a las organizaciones a revelar información sensible como parte de la investigación. Una forma de prepararte para estas demandas es identificar palabras clave preocupantes dentro de la comunicación electrónica que serían objetivos dentro de una demanda. A partir de allí, con la asesoría de un abogado, puedes archivar o guardar esta información en un lugar seguro a manera de "cuarentena", como dispositivos de almacenamiento que no tengan conexión a internet o un almacenamiento encriptado en la nube.

Establece una política de retiro de datos

No todas las organizaciones tienen los recursos financieros o tecnológicos para archivar datos sensibles. Sin embargo, la mayoría de las organizaciones tienen la capacidad de eliminar o borrar de forma selectiva los emails en las bandejas de entrada de sus empleados. Cuando se hace adecuadamente, esto puede ayudar a administrar mejor el flujo de información en tu organización. Sin embargo, un abuso de este poder puede violar el derecho a la privacidad de tu equipo y tu responsabilidad ética como empleador. Por este motivo, recomendamos que la mayoría de las organizaciones apliquen una política que sea fácil de entender cuando se eliminen mensajes o datos de los sistemas de miembros del equipo y asegurarse de que todos estén familiarizados con esta política.

Qué recomendamos:

Ahora que has comenzado a identificar y archivar los datos, así como aplicar políticas para eliminar datos éticamente, puedes tomar pasos adicionales para salvaguardar de demandas frívolas los datos privados de tu organización. Es importante que trabajes con un abogado familiarizado con tu situación cuando estés manejando datos sensibles.

Usa una plataforma de descubrimiento electrónico

Ahora que el proceso de investigación legal reúne una amplia diversidad de datos, muchos abogados han comenzado a usar herramientas de descubrimiento electrónico (e-discovery en inglés), que les permite buscar vastas cantidades de información usando una computadora. Tu organización también puede usar estas herramientas, como G Suite Vault, de Google, para buscar en sus propios datos palabras claves adicionales, términos y documentos que deberían ser trasladados y archivados. Esto puede incluir documentos y archivos adjuntos de fuentes, consultores o servicios que tienen acceso a tu sistema. Trabaja con un abogado, identifica información sensible y almacenala en una plataforma de descubrimiento electrónico.

Pon a prueba tus defensas con un simulacro anual

Así como has hecho ejercicios entre oficinas para poner a prueba tu seguridad física y tus políticas de seguridad, también puedes realizar un simulacro para poner a prueba las respuestas a solicitudes legales. En este ejercicio, simularán que llega una solicitud legal externa. Puedes trabajar en esto con tu abogado. ¿Puede tu equipo localizar y asegurar esta información? ¿Esta solicitud expone a tu organización a un riesgo legal en particular? ¿La solicitud legal detiene temporalmente el trabajo de tu organización? Entender el impacto de una demanda legal sobre tu organización, incluso cuando es ficticia, puede ayudarte a estar mejor preparado para un riesgo en la vida real.

Por qué recomendamos esto:

Las amenazas de seguridad que enfrentan las organizaciones periodísticas no están limitadas a ataques físicos o digitales. Los retos legales pueden forzar a las salas de redacción a divulgar información sensible, interrumpir el trabajo de reportaje o sencillamente gastar tiempo y dinero en respuestas a demandas frívolas. Consultar con un abogado familiarizado con la ley de tu país es un buen primer paso para proteger a tu organización de estos riesgos.

Administrar datos proactivamente antes de un reto legal equipa a tu organización mejor para aislar datos que pueden necesitar en caso de una demanda legal. Sin embargo, antes de archivar o reubicar la información de un empleado, explícale claramente a tu equipo cuándo y cómo se puede acceder a sus datos y usarlos.

Un ejemplo ficticio:

VTA tiene una oficina de una persona en Guatemala que reporta abusos ambientales. Como una sala de prensa que cubre el medio ambiente en una región donde hay gente poderosa que es dueña de grandes extensiones de tierra, VTA comprende que su oficina puede ser objeto de ataques legales. Para prepararse, la administración pide revisar y archivar datos sensibles en el sistema. Para este ejercicio se contó con la asesoría de un abogado.

Un terrateniente local amenaza con demandar a la organización por difamación. Los abogados de VTA en la oficina de Panamá creen que pueden encargarse de la demanda potencial, pero pronto se dan cuenta de que deben apoyarse en abogados de Guatemala para cumplir con las leyes y requisitos locales.

Seguridad en dispositivos

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Puedes ya estar familiarizado con la necesidad de fragmentar o distribuir tus datos en plataformas diferentes. Otra buena práctica es la compartimentalización, que quiere decir el uso de distintos dispositivos o servicios para reducir el riesgo. Si tu equipo principalmente usa el mismo dispositivo desde la oficina y desde tu hogar, o depende exclusivamente de G Suite, de Google, deberías considerar compartimentalizar más el flujo de trabajo de tu organización. Aquí hay algunas maneras de hacerlo.

Entiende la relación entre uso personal y profesional

Los miembros de tu equipo no tendrían las mismas conversaciones en su oficina que en el hogar o con una pareja romántica durante una cena. La misma regla aplica cuando se trata de sus vidas digitales. Usar el mismo dispositivo para usos personales y profesionales aumenta el riesgo de que sean objeto de ataques en el trabajo y en el hogar.

Por ejemplo, un miembro del equipo que usa su portátil para juegos en línea puede ser objetivo de hackers que luego tienen acceso a archivos sensibles de trabajo. Por otra parte, un miembro del equipo que es objeto de ataques a causa de su trabajo, puede luego caer en cuenta de que los hackers también tienen acceso a sus archivos personales. Es importante educar a tu equipo en la importancia de separar estos dos flujos de información.

Implementa las soluciones adecuadas para tu organización

La solución correcta de ayudar a tu equipo a compartimentalizar sus datos, depende de una variedad de factores, incluyendo tu presupuesto, habilidad técnica y las computadoras y móviles que hay en tu región. Las soluciones posibles, organizadas por precio y complejidad, incluyen:

Compra de dispositivos exclusivos para trabajo (portátiles y/o móviles) para miembros del equipo.
Uso de USB o disco duro externo para cargar un sistema operativo separado en computadoras del equipo (menos costoso, más complejo).
Crear cuentas exclusivas para el trabajo (menos costoso, relativamente complejo).

Puedes trabajar con un asesor técnico para ajustar estas estrategias a las necesidades de tu organización.

Qué recomendamos:

Tu equipo está familiarizado con el concepto de compartimentalización y has tomado algunos pasos iniciales para mantener el trabajo de tu organización y los datos personales por separado. Ahora puedes implementar algunos cambios más para fortalecer más esa división.

Usa un navegador dedicado a distintos tipos de trabajo

Incluso dentro de tu propio dispositivo de trabajo, puedes compartimentalizar aún más tu huella en internet. Una forma fácil de hacerlo es usar navegadores distintos para tipos de trabajo diferentes. Esto reduce la probabilidad de que un atacante pueda comprometer un navegador individual y acceder a la historia de búsqueda y otros datos.

Almacena menos información en los dispositivos de trabajo

En lugar de almacenar los archivos localmente en dispositivos de trabajo, implementa cómo tu equipo puede almacenar sus datos encriptados en la nube o en dispositivos externos. Esto reduce el riesgo de que un atacante pueda robar un dispositivo y acceder a todos los datos que están almacenados allí. También recomendamos que trabajes con tu proveedor de asistencia técnica para establecer una política remota de eliminar datos, que te permita borrar de forma remota cuentas de trabajo en dispositivos del equipo, en caso que se pierdan, sean robados o se vean comprometidos.

Qué recomendamos:

Has ayudado a tu equipo a compartimentalizar su vida personal y profesional. Ahora el objetivo debe ser la compartimentalización completa, para que haya pocos datos que los adversarios externos puedan ubicar. Para hacer esto deberás trabajar con un proveedor de asistencia técnica en los siguientes pasos.

Usa una máquina virtual

Si tienes acceso a internet de alta velocidad, tu equipo puede usar software como VMWare o Microsoft Hypervisor para acceder virtualmente a otra máquina utilizando la suya. Esto les permite hacer su trabajo sin dejar datos rastreables en sus dispositivos de trabajo. Todo su trabajo, en cambio, se guarda en un disco compartido, de forma que si su dispositivo resulta vulnerable o ha sido robado, hay poco o ningún riesgo de exponer la información sensible. Esta es una solución técnica que requiere mantener y actualizar tus dispositivos de trabajo, así que puede no ser apropiada para cualquier organización.

Implementa biométricos si es apropiado

Muchas organizaciones dependen de distintas contraseñas como su primera línea de defensa para dispositivos del trabajo. En otras partes del mundo, sin embargo, las soluciones biométricas (como escanear una huella digital) pueden ser más seguras y menos vulnerables a los retos de las fuerzas policiales y los gobiernos. Si ese es el caso en tu región, una solución biométrica puede ser apropiada para acceder a tus dispositivos de trabajo. Muchos sistemas de claves biométricas también permiten a los administradores mantener un registro activo de los aparatos que están actualmente conectados a su red.

Incorpora soluciones de seguridad de punto final (endpoint security)

Organizaciones de distintos tamaños con frecuencia tienen firewalls para protegerse de amenazas externas. Sin embargo, ¿qué ocurre cuando la amenaza viene de dentro de un dispositivo de trabajo hackeado o comprometido? Las soluciones de seguridad de punto final, como Microsoft Defender for Endpoint y Bitdefender GravityZone Ultra Security Suite, monitorean los dispositivos que de hecho están conectados a la red. Si estos paquetes de software detectan comportamiento anormal o disruptivo desde cualquiera de estos aparatos, pueden desconectarse automáticamente de la red.

Por qué recomendamos esto:

Así como no guardarías todos tus objetos valiosos en un solo cajón del escritorio, no quieres guardar todos tus datos sensibles en solo un lugar, sistema o plataforma. Implementar los principios de compartimentalización puede mantener tus datos más seguros, incluso si tus aparatos son hackeados, atacados o robados.

La compartimentalización puede tomar muchas formas distintas. Por ejemplo, tus reporteros pueden usar un navegador dedicado "solo para investigaciones", para ayudar a mantener las actividades que se hacen en línea por separado. Tu equipo puede también hacer más seguros sus propios dispositivos de trabajo, en especial los móviles, almacenando datos por fuera del dispositivo en sí. Estos pasos de fácil implementación pueden contribuir a una cultura de organización más segura.

Al tiempo que aumentan las amenazas, puedes querer considerar opciones más avanzadas, como una máquina virtual o la protección de punto final, que pueden ser instaladas por un proveedor de asistencia técnica.

Un ejemplo ficticio:

VTA tiene oficinas en Sudamérica y Centroamérica. En algunos países, los últimos dispositivos tienen precios razonables, pero en otros es difícil comprar tecnología nueva a precios accesibles. Para ayudar al equipo a mantener sus datos más seguros, la administración de VTA instituye una política de cuentas solo para trabajo, instruyendo al equipo a crear cuentas de usuario que los miembros deberían usar en los dispositivos de trabajo. Los únicos que tienen la capacidad de instalar software y cambiar los ajustes son el personal de tecnología de la información. También exigen que la información sensible sea manipulada solo mediante un portátil separado y dedicado exclusivamente a ello.

Seguridad de softwares

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Usas software todos los días: navegadores web, procesadores de palabras, entre otros. Sin embargo, si tu organización está utilizando software sin licencia, ilegal o pirata, podrías estar poniéndote en riesgo. Mientras que el software con licencia puede ser costoso, las versiones ilegales o sin licencia de este mismo software, a menudo descargadas de internet, pueden tener malware y otras amenazas.

Usa software gratis y de fuente abierta

Muchos de los programas más populares que exigen pago tienen alternativas gratis de fuente abierta. A continuación, incluimos algunos:

Microsoft Office puede ser reemplazado por OpenOffice o LibreOffice.
Adobe Photoshop puede ser reemplazado por Canva (disponible solo con licencia sin ánimo de lucro), Sumopaint, y Pixlr.
Microsoft Outlook puede ser reemplazado por Mozilla Thunderbird.
Windows 10 puede ser reemplazado por Ubuntu.

Asegúrate de descargar software de fuente abierta únicamente de fuentes confiables. Dado que los programas de fuente abierta a menudo son mantenidos por un equipo pequeño, pueden no ser tan amigables para el usuario como los programas comerciales y pueden no ser actualizados tan seguido, si es que se actualizan.

Aplica para licencias de software con descuento

Según las características tributarias de tu país, puedes calificar para descuentos sin ánimo de lucro en programas populares de uso comercial, como Microsoft Office. Por ejemplo, el proveedor de tecnología TechSoup ofrece software con licencia aplicando altos descuentos para grupos sin ánimo de lucro registrados. Algunos vendedores de software también ofrecen descuentos. Asegúrate de confirmar si calificas para estos descuentos según el actual estado legal de tu organización.

Qué recomendamos:

Has atacado el uso ilegal o sin licencia de software dentro de tu organización y hallaste alternativas. Ahora puedes tomar pasos para proteger tus sistemas de trabajo de software poco confiable.

Puedes ser selectivo con respecto a instalar software

Al trabajar con un proveedor de asistencia técnica, puedes restringir que tu equipo instale software en sus dispositivos de trabajo. Una de las formas más fáciles de hacer esto es asegurarte de que los miembros del equipo no sean administradores de sus propios dispositivos de trabajo. En cambio, asegúrate de que el administrador sea una persona de confianza en la oficina, preferiblemente con experiencia técnica. También querrás designar a un administrador de respaldo que tenga acceso, en caso que tu administrador principal no esté disponible y debas hacer cambios a un dispositivo de trabajo.

Al consultar con tu proveedor técnico, puedes considerar restringir el software de tu organización únicamente a lo que está disponible en tiendas oficiales de tu sistema operativo, como Microsoft, Apple y Ubuntu. Cualquier software que descargues debería tener una firma digital, aunque ten en cuenta que esto no es garantía de seguridad.

Qué recomendamos:

Ahora estás regulando el tipo de software que usa tu organización y estás listo para fortalecer tu postura de seguridad. Hay varios pasos que puedes tomar.

Establece una política fuerte con respecto al uso de dispositivos personales

Si bien la conveniencia es importante, permitir que los miembros del equipo conecten sus dispositivos personales a redes de trabajo con rapidez transforma a tu sistema de oficina en el equivalente a un café internet. Establece una política fuerte que explícitamente diga qué dispositivos pueden ser utilizados por los empleados y dónde, incluyendo cuando trabajan desde casa. Esto reduce el riesgo de que el equipo sin querer conecte un dispositivo comprometido a tu red.

Toma pasos para mejorar tu vigilancia

Al trabajar con un proveedor de asistencia técnica, puedes querer considerar implementar una red de "cero confianza", que le permita a un individuo conectarse por tus sistemas internos sólo después de que superen un proceso de autenticación. Una forma de hacer esto es mediante un ingreso único, que utilice una sola clave en distintas cuentas y dispositivos. Como una alternativa, puedes establecer un rol de administrador de red que se asegure de que todos los ingresos del equipo se hagan mediante un dominio central, que pueda rastrear y administrar quién está conectado. Por último, considera usar el software de administración de dispositivos para instalar remotamente el software necesario y borrar los dispositivos de trabajo según sea necesario.

Por qué recomendamos esto:

El software es la columna vertebral del trabajo digital de cualquier organización. Usar software ilegal, sin licencia o pirata puede exponer la organización a riesgos innecesarios. Si tienes alternativas gratis, de fuente abierta y licencias con descuentos para organizaciones sin ánimo de lucro, no arriesgues traer inadvertidamente malware a tus dispositivos de trabajo.

Además de ser vigilante con respecto al software, tu organización debería también ser estricta con el origen del software, quién puede instalarlo y cómo funciona. Un proveedor de asistencia técnica puede ayudarte a estar seguro de que el software provenga de fuentes legítimas que pueda ser cambiado o alterado solo por miembros del equipo dedicados a ello.

Un ejemplo ficticio:

Cuando VTA abre una oficina en Belice, los funcionarios locales se esfuerzan por encontrar software que puedan pagar para su pequeña operación de dos personas. Para no usar software pirata, usan software gratis y de fuente abierta. Eventualmente, contactan a un vendedor regional que les da un descuento en software de Microsoft. Se aseguran de que el nuevo software haga actualizaciones automáticas con las más recientes correcciones.

Encriptación de datos

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Si asocias la encriptación con romper códigos y hacer transacciones financieras, no eres el único. Muchas personas no encriptan ninguna de la información que poseen. Como resultado, un atacante puede acceder a sus datos si su computador se pierde o es robado, incluso cuando está asegurado con una contraseña. Esto es riesgoso para un periodista que maneja información sensible. Tus datos sólo están protegidos cuando un dispositivo tiene el disco plenamente encriptado (con algunas salvedades que se explican más abajo). Aquí hay dos pasos para ayudar a que tu organización incorpore la encriptación en su flujo de trabajo.

Activa la encriptación completa en los dispositivos de trabajo

Trabaja con un proveedor de asistencia técnica para habilitar la encriptación de disco completo en cualquier computadora que tu organización use para trabajar. Esto puede consumir bastante tiempo, en especial para salas de redacción ocupadas, pero este proceso puede hacerse fuera de horas laborales, de ser necesario. Las computadoras Windows deben por lo menos actualizarse a Windows 10 Pro (que generalmente cuesta unos 50 dólares) para habilitar BitLocker, el software interno de encriptación de disco completo. Las computadoras Apple tienen instalado el software FileVault, que puede activarse en cualquier momento. Las computadoras Linux usan Luks, que debe activarse cuando se instala el sistema operativo.

Es importante entender cómo funciona la encriptación. Algunos programas de encriptación, como BitLocker de Microsoft, encriptan los datos "en descanso", lo cual quiere decir que los datos solo se encriptan cuando el dispositivo se apaga. Hay almacenamiento encriptado en la nube que también funciona de esta manera, solo encriptando datos cuando el usuario no está activamente conectado al sistema. Es importante considerar esto cuando instalas estos sistemas, para que no haya malentendidos con respecto a cuán extensamente has protegido tus datos.

Considera alternativas más seguras para el disco duro

Actualmente, puedes almacenar tus datos en discos duros externos, que son muy portátiles y muy convenientes. Lo normal, sin embargo, es que muchos de estos dispositivos no estén encriptados, dejando tus datos accesibles a cualquier que tenga el disco en sí. Considera reemplazar estos dispositivos con alternativas más seguras. Una opción podría ser reemplazar los discos duros externos con discos duros que exijan códigos PIN. Apricorn y iStorageUK venden estos discos encriptados, que tienen teclados para ingresar los códigos y acceder a los datos.

Qué recomendamos:

Ahora que has habilitado la encriptación de disco completo, también puedes usarla para otro tipo de almacenamiento. Uno de los más populares es la nube, o almacenar archivos e información en servidores administrados por servicios ampliamente conocidos, como Dropbox y Google Drive. Estas son opciones accesibles y convenientes, pero no son la mejor elección para almacenar información sensible que se utiliza para proyectos de investigación. Aquí presentamos una alternativa más segura.

Utiliza un almacenamiento encriptado en la red de "conocimiento cero"

Para información sensible, recomendamos usar un proveedor de almacenamiento de "conocimiento cero". Este término se refiere a un proveedor de almacenamiento en la nube que no tiene "conocimiento" de los archivos o los datos que almacenas. El proveedor simplemente ofrece almacenamiento y la función de encriptación necesaria para que tus datos estén seguros. Esto quiere decir que solamente tu organización tiene acceso a los archivos y datos que almacenan allí.

Si bien esto fortalece considerablemente tu habilidad de almacenar información sensible, también hay un problema: si pierdes u olvidas tus credenciales para el servicio, no podrás acceder a tus datos. Dado que el proveedor tampoco tiene acceso a tus datos, no puede retirarlos por ti. Sabiendo esto, selecciona bien los datos que eliges almacenar con un proveedor de "conocimiento cero", y procura ir por los datos sensibles que ya has almacenado en otro lugar. Algunos proveedores populares son Tresorit, SpiderOak One y las alternativas de fuente abierta NextCloud o OwnCloud.

Qué recomendamos:

Tu organización ha hecho importantes avances manteniendo los datos sensibles encriptados y seguros. Tu equipo ha habilitado la encriptación de disco completo en todos los dispositivos de trabajo y utiliza el almacenamiento en la nube para tener protección adicional. Ahora puedes llevar la encriptación un paso más allá, enseñándole a los miembros de tu equipo a encriptar archivos individuales y datos en sus dispositivos de trabajo. Un proveedor de asistencia técnica puede ayudarte a incorporar este proceso a tu flujo de trabajo.

Encripta información sensible en tu computadora

Si bien recomendamos una encriptación de disco completo en todos los dispositivos, tiene limitaciones. ¿Qué sucede, por ejemplo, si un miembro del equipo decide dejar su portátil de trabajo sin cerrar sesión mientras van al baño y alguien oprime en un archivo sensible de su escritorio? Piensa en enseñarles a los miembros de tu equipo cómo encriptar archivos y fólderes que podrían causar riesgos si caen en las manos inapropiadas. Si los archivos están encriptados, los individuos tendrán que ingresar una contraseña para abrirlos. Puedes lograr esto mediante el uso de software de encriptación como VeraCrypt o Cryptomator. Un proveedor de asistencia técnica puede ayudarte a comenzar.

Una nota importante: cuando uses ciertos tipos de este software, puede parecer que los archivos encriptados no están y no aparezcan en fólderes de archivos o en el escritorio. Estos archivos solo aparecen cuando el usuario abre el software apropiado e ingresa la contraseña.

Por qué recomendamos esto:

Entender y habilitar la encriptación de datos en dispositivos de trabajo no es tan difícil como puede parecer. Si bien es crítico entender cómo funciona la encriptación (incluyendo cuando los servicios usan encriptación en reposo), tomar pasos para salvaguardar mejor los datos es algo que la mayoría de las organizaciones periodísticas pueden hacer.

La implementación más avanzada puede incluir almacenamiento en la nube de "conocimiento cero" y la encriptación individual de archivos y fólderes en dispositivos específicos. Esto puede ser implementado con la ayuda de un proveedor de asistencia técnica.

Un ejemplo ficticio:

La oficina de VTA en Venezuela es asaltada. Los intrusos se llevan dos portátiles y una computadora de escritorio. Afortunadamente, antes del asalto, VTA exigió que los dispositivos tuvieran encriptación de disco completo (y apagados cuando los miembros del equipo se vayan al final del día, de forma que la encriptación esté activada). Por lo tanto, el equipo de VTA sabe que sus datos están seguros mientras los equipos estén fuera de su control. También han activado una característica de rastreo de dispositivos, que les permite bloquear sus dispositivos y rastrear dónde están.

Gestores de contraseñas y autenticación

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Las contraseñas son como las llaves del hogar: algo que usas todos los días y pueden fácilmente robarte. A diferencia de las llaves del hogar, sin embargo, muchas personas usan la misma clave para diferentes cuentas, que es el equivalente a usar la misma llave para tu hogar, oficina, automóvil y cajón de escritorio. Por fortuna, al igual que puedes tomar pasos para fortalecer tus cerraduras, lo puedes hacer para fortalecer tus contraseñas y cuentas en línea.

Entiende cómo quedan comprometidas las contraseñas en línea

Las contraseñas son valiosas para las personas interesadas en acceder a la información en línea de tu organización. Estas personas pueden ser atacantes que buscan comprometer a tu organización o cibercriminales que quieren robar o vender datos. La mayoría de los servicios en línea, como el email y las plataformas de redes sociales, eventualmente van a resultar comprometidos. Cuando esto sucede, los atacantes venden y comercian contraseñas, hasta que gradualmente son publicadas en internet.

Tarde o temprano, los miembros del equipo sufrirán de una brecha que expone por lo menos una de sus contraseñas. Si usan esa clave en distintas cuentas, aumentan su riesgo y el de tu organización.

Establece una política de contraseñas en toda tu organización

Cuando les dan la opción, la mayoría de las personas eligen contraseñas básicas y fáciles de recordar, que se resuelven con facilidad. Para que las contraseñas de tu organización sean más fuertes, piensa en establecer una política de contraseñas. La política debería cubrir:

Qué entiende tu organización como una contraseña o frase clave fuerte.
Cómo pueden los miembros de tu equipo generar contraseñas (recomendamos para esto un administrador de contraseñas).
Dónde deben almacenarse las contraseñas (de nuevo, preferimos un administrador de contraseñas).
Otras reglas que rigen la seguridad basada en contraseñas, como la forma de lidiar con preguntas de seguridad en una cuenta de trabajo.
Deberías también establecer una regla que gobierne qué tan largas pueden ser las contraseñas antes de que deban cambiarse.

Activa un administrador de contraseñas

Cada servicio en línea que usan los miembros de tu equipo requiere una contraseña única. Desafortunadamente, con muchos de nosotros lidiando con cientos de servicios en línea, es casi imposible acordarse de tantas contraseñas. Una herramienta de administración de contraseñas puede ayudar a organizar nuestras contraseñas, almacenarlas de forma segura y permitirnos generarlas de manera aleatoria. Algunos administradores de contraseñas pueden incluso compartir claves con tu equipo para cuentas que usan regularmente.

Algunos administradores de contraseñas populares y fáciles de usar son 1Password Business, LastPass Enterprise, Dashlane, KeePassxc, Keeper y Bitwarden. Un proveedor de asistencia técnica puede ayudarte a determinar el administrador de contraseñas adecuado para tu organización.

Requisito de autenticación de dos factores

Así como fortalecemos la seguridad de nuestro hogar añadiendo un sistema de alarma y otras medidas, podemos fortalecer nuestras cuentas en línea en caso que alguien tenga acceso a nuestras contraseñas. Este proceso se conoce como autenticación de dos factores o autenticación de múltiples factores, y requiere de algo que conoces (tu contraseña) junto con un elemento que tienes (un código o herramienta de autenticación).

Recomendamos habilitar la autenticación de dos factores para los servicios en línea que utilice tu organización. Usar un portal como twofactorauth.org, junto con un proveedor de seguridad externa, puede ayudarle a tu equipo a habilitar la autenticación de dos factores en la mayoría de servicios.

Qué recomendamos:

Tu organización ha tomado pasos para fortalecer tus procesos de contraseñas. Con un esfuerzo mínimo, puedes mejorar aún más tu seguridad.

Usa una aplicación de autenticación o token

Cuando se activan por primera vez, la mayoría de los servicios de autenticación de dos factores usan SMS o mensajes de texto, que son enviados a tu equipo para que pueda acceder a sus cuentas. Sin embargo, dado que los mensajes SMS son fácilmente interceptados y manipulados, no es la forma más segura para enviar códigos de autenticación. En cambio, recomendamos cambiar de SMS a una aplicación de autenticación que esté instalada en tu dispositivo móvil o, si quieres una solución aún más segura, un token de hardware que se conecta al puerto USB de tu computadora. Recomendamos Authy, Google Authenticator, y Microsoft Authenticator. Algunos tokens que tienen buena reputación son Yubikey, Solo Key y Titan Key.

Fortalece tus políticas de contraseñas

Incluso las políticas más sólidas de contraseñas tienen que trabajar con el flujo de trabajo de tu equipo. Revisa tus actuales políticas y determina áreas que pueden mejorar, y hacerse más fuertes y claras. Por ejemplo, ¿cómo debería tu equipo manejar una situación cuando quedan por fuera de su cuenta o no tienen las credenciales de autenticación de dos factores necesarias? Clarificar estos pasos puede reducir el riesgo, en particular cuando el equipo está de viaje, o permitiendo que inadvertidamente haya un atacante en tu sistema.

También querrás revisar las políticas de contraseñas en tus distintos dispositivos. Por ejemplo, los administradores locales de tus dispositivos de trabajo deberían poder reiniciar ellos mismos las contraseñas en intervalos regulares, como cada 180 días. Un proveedor de asistencia técnica podría ayudarte a revisar tus políticas actuales y encontrar cómo mejorarlas.

Qué recomendamos:

Instituir administradores de contraseñas y activar la autenticación de dos factores en las cuentas individuales mejorará considerablemente la seguridad de tu organización. Al trabajar con un proveedor de asistencia técnica puedes llevar estos esfuerzos un paso más allá, mediante una plataforma para toda la organización. Encuentra más sobre esto abajo.

Utiliza un acceso único en toda tu organización

Al instituir un sistema comprensivo de acceso único (SSO, por sus siglas en inglés), mejorarás el flujo de trabajo de tu organización y su seguridad. El SSO exige que tu equipo utilice el mismo nombre de usuario, contraseña y autenticación de dos factores para todas las cuentas que utilicen para el trabajo. El sistema también le da al administrador un mayor control sobre las preferencias de seguridad, así como la habilidad de monitorear más de cerca el uso de las cuentas de trabajo por parte del equipo.

El SSO puede ser complejo de montar, en especial para una organización grande, con protocolos de seguridad ya establecidos, pero un proveedor de asistencia técnica puede ayudar. Recomendamos sistemas SSO DUO y Okta. El Programa de Protección Avanzada, de Google, puede ayudar a establecer un sistema similar para los usuarios de alto riesgo. Simplemente recuerda que, para ser efectivo, todas las cuentas dentro de tu organización que requieran un ingreso deben estar bajo el SSO.

El motivo por el usar SSO es más seguro que usar cientos de contraseñas diferentes es porque reduce la "superficie de ataque". En lugar de tener varias cuentas distintas y contraseñas que pueden ser el objetivo de un atacante, el SSO pone todas tus cuentas bajo una sola entrada, generalmente con un alto nivel de protección. La mayoría de los proveedores de SSO también exigen una autenticación de dos factores para tener una capa adicional de seguridad, así como vigilancia por parte de un administrador que puede desactivar las cuentas, según sea necesario.

Por qué recomendamos esto:

Las contraseñas nos permiten acceder a cientos de servicios que usamos a diario en línea. Dado que manejamos tantas contraseñas, es importante que las tengamos organizadas, seguras y fácilmente administrables. Implementar un administrador de contraseñas puede ser logísticamente complicado, dependiendo del tamaño de tu organización, pero inmediatamente aumenta la seguridad de tus cuentas y tu equipo.

Combinar un administrador de contraseñas con la autenticación de dos factores es una forma relativamente cómoda de mejorar considerablemente tu huella de seguridad. Puedes llevarla un paso más allá con elementos adicionales, como la seguridad física de llave o incluso la funcionalidad SSO.

Un ejemplo ficticio:

Hace algunos años, VTA exigía que todos en su equipo activaran una autenticación de dos factores en sus dispositivos de trabajo. Sin embargo, a medida que más miembros del equipo viajaban, al departamento de tecnología de la información le frustraba la cantidad de personas que accidentalmente quedaban fuera de sus cuentas y no podían acceder de nuevo. Para aliviar la situación sin eliminar la autenticación de dos factores, VTA instituyó una nueva política de contraseñas, que aclara cómo el equipo puede administrar la autenticación de dos factores cuando no puedan acceder a sus cuentas.

Actualizaciones

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

El software del que dependen las organizaciones para su trabajo requiere actualizaciones para operar de forma segura y sin contratiempos. Sin embargo, para muchos de quienes trabajan en oficinas, los recuadros que solicitan instalar actualizaciones son una molestia que prefieren ignorar, y no una parte vital de su flujo de trabajo. Por fortuna, puedes tomar pasos para que las actualizaciones sean una parte regular del uso de tecnología de tu organización.

Activa las actualizaciones automáticas

Automatizar el proceso es una de las formas más efectivas y que menos tiempo consumen de actualizar software. Algunos software permiten que los usuarios seleccionen la opción de actualización automática, que hará que el software instale las actualizaciones disponibles y reinicie, según lo necesita. Asegúrate de que todos los miembros del equipo activen esta opción en todo el software disponible y envíen un email a sus supervisores confirmando que lo han hecho.

Qué recomendamos:

Tu equipo ha activado las actualizaciones automáticas en su software, un paso hacia un flujo de trabajo más seguro. Sin embargo, ¿qué sucede si tienes muchos dispositivos de trabajo, con distintas versiones de plataformas de software diferente? Es fácil que los empleados descuiden una pieza en particular de software, dejando vulnerable a la organización. Aquí te decimos cómo responder a esta situación.

Instala manualmente las actualizaciones según las necesites

Si te preocupa que tu equipo pueda estar olvidando hacer actualizaciones esenciales en sus sistemas, trabaja con un proveedor de asistencia técnica para crear una cuenta maestra de administrador en todos los dispositivos de trabajo. Luego, cuando los dispositivos no estén siendo utilizados, como en horas que no sean laborales, instala manualmente todas las actualizaciones según se necesiten, mediante la cuenta de administrador.

Qué recomendamos:

Cuando tu organización está creciendo y ampliándose en distintas regiones, puede no ser viable para el equipo de tecnología instalar manualmente las actualizaciones o depender de tus empleados para las actualizaciones automáticas. En cambio, puedes querer considerar:

Darle un empuje a las actualizaciones según se necesiten para los dispositivos

Para las organizaciones grandes con varias oficinas, usar un dispositivo de administración de dispositivos puede ayudar al departamento de tecnología de la información a "dar un empuje" a las actualizaciones, sin estar físicamente presentes en la oficina. Esto puede asegurar que las actualizaciones críticas lleguen a los dispositivos alrededor del mundo, mientras le da a tu organización un mayor control sobre la administración de software y seguridad.

Por qué recomendamos esto:

Al no actualizar nuestro software y sistemas operativos, enfrentamos riesgos innecesarios. Las actualizaciones no tienen que consumir mucho tiempo, ni tienen que ser molestas. Activar actualizaciones automáticas o darle un empujón a las actualizaciones de dispositivos, puede hacerse con poca ayuda de un proveedor de asistencia técnica.

Un ejemplo ficticio:

El equipo de finanzas de VTA consiste de tres miembros y un administrador con sede en Panamá. Dado que son profesionales ocupados, están lidiando con la revisión fiscal de una gran organización periodística. Cuando ven una alerta en sus dispositivos que les recuerda actualizar su software de contaduría, generalmente ignoran la notificación y siguen trabajando. Desafortunadamente, si no se actualiza, una falla de seguridad en su software de contaduría les expone a riesgos en sus sistemas. Por lo tanto, la administración de VTA exige que el equipo active las actualizaciones automáticas en su software.

Continuidad operacional

Tu organización tuvo un puntaje básico de seguridad operacional, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Nadie quiere enfrentar un robo, un incendio, una inundación, un desastre natural, una pandemia o el secuestro de un miembro del equipo. Sin embargo, las crisis ocurren y las organizaciones que priorizan la planeación y la continuidad están mejor preparadas para cuando llegue el desastre. Para comenzar, recomendamos tomar el siguiente paso.

Realiza un simulacro para planear los peores escenarios

El mejor momento para planear una crisis es antes de que ocurra. Un simulacro te puede ayudar a hacerlo. El nivel de complejidad depende de ti, pero deberías enfocarte en cómo tu organización respondería a una única amenaza, como una suspensión de internet, la incapacidad de llegar a la oficina, un desastre natural o el arresto y detención de un colega. Junto con tus administradores, evalúa cómo tu organización respondería a esta amenaza, asegúrate de identificar cualquier debilidad o vulnerabilidad que surja durante el simulacro.

Tu organización tuvo un puntaje de razonable de seguridad en esta área. ¡Buen trabajo! Todavía hay campo para mejorar, así que hemos reunido algunas recomendaciones para fortalecer la seguridad de tu organización.

Qué recomendamos:

Una vez tengas una idea de los riesgos que enfrenta tu organización, puedes comenzar a planear cómo actuar en crisis y desastres. Tu prioridad es asegurarte que tus planes estén documentados y sean accesibles a tu equipo, seguido de comunicarte durante un momento difícil.

Crea respuestas a incidentes y planes para "un día lluvioso"

En una crisis, los individuos tienden a responder mejor cuando pueden seguir una lista de verificación clara, paso a paso. Tómate el tiempo ahora de crear planes de respuesta a incidentes para amenazas específicas, como un desastre natural o una interrupción de internet. Desde allí, puedes crear un plan para "un día lluvioso", que te permita seguir trabajando incluso en condiciones difíciles. Un proveedor de seguridad te puede ayudar con esta fase de planeación.

Monta un canal de comunicación alterno

En una emergencia, los canales de comunicación normales de los que depende tu organización, como Slack y correo electrónico, pueden no estar disponibles. Crear una cuenta con un servicio diferente, como un proveedor de email encriptado ProtonMail, o el servicio de mensajes encriptados Threema, para usar durante una crisis. Asegúrate de practicar cómo ingresar y usar estas cuentas para comunicarte durante ejercicios de cada tres a seis meses.

Qué recomendamos:

Ahora que tienes planes establecidos para crisis individuales, tómate el tiempo de enfocarte en lo que tu equipo necesita para continuar con su trabajo durante un momento difícil. Esto puede incluir soluciones técnicas, así como apoyo para su bienestar emocional y nivel de estrés.

Desarrolla un horario de trabajo modificado para crisis

Durante momentos estresantes, entiende que tu equipo puede no tener el mismo desempeño y el mismo nivel que normalmente tendría. Piensa en exigir menos días de trabajo por semana para impedir el agotamiento y proporcionar recursos para su bienestar emocional. Invertir en tu equipo demuestra que eres solidario durante los tiempos difíciles, mejora la seguridad organizacional y fomenta que el equipo tome descansos que probablemente necesita.

Introduce alternativas a las reuniones físicas

Cuando el equipo está acostumbrado a reunirse en persona y no lo hace, la productividad puede, en ocasiones, reducirse. Si bien usar plataformas populares de videoconferencia es ideal para las reuniones estándar, se considera una alternativa más segura y con encriptación de extremo a extremo, como Cisco Webex, para reuniones sensibles.

Intenta usar una plataforma colaborativa

Slack y otras herramientas de colaboración son útiles para las comunicaciones diarias de la oficina, y para la información y proyectos que no son sensibles. Para proyectos más sensibles, considera una plataforma de colaboración encriptada, como Element o Semaphor. Estas plataformas a menudo tienen una curva de aprendizaje marcada y pueden requerir asistencia técnica para su instalación; sin embargo, ofrecen un nivel de seguridad mucho más alto.

Desarrolla guías de trabajo remoto

Cuando el equipo está usando dispositivos de trabajo por fuera de la oficina, considera tener lineamientos fáciles de seguir sobre el trabajo remoto. Consulta con un proveedor de asistencia técnica para determinar el nivel de acceso a su dispositivo de trabajo que un miembro del equipo debería tener. Por ejemplo, la mayoría de las organizaciones querrán restringir que el equipo instale software personal en sus dispositivos de trabajo.

Por qué recomendamos esto:

Los desastres y crisis no siempre son predecibles. Por eso, hemos recomendado que tu organización invierta tiempo en crear planes para asegurar que puedes seguir operando, incluso cuando las situaciones cambien drásticamente. Este tipo de planeación no se limita a los desastres naturales, pues una enfermedad, un conflicto o simplemente una oficina inundada también pueden generar disrupciones en la capacidad que tu equipo tiene de trabajar efectivamente.

Un ejemplo ficticio:

Mientras cubre un derramamiento petrolero en la zona rural de Honduras, un periodista de VTA es temporalmente detenido por una milicia local. La organización hace enormes esfuerzos por contactar al grupo de milicia y cuando finalmente lo logra, negocia su liberación. En adelante, la administración de VTA se da cuenta de que deben apoyar mejor a su equipo durante las crisis. Implementan un plan de respuesta a incidentes y canales alternos de comunicación, para usar durante retos futuros.

Servicios de terceros

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Cada día, las organizaciones periodísticas dependen de servicios de terceros y de plataformas para hacer su trabajo. Esto va desde servicios como Twitter y Facebook, a herramientas software como servicio (SaaS, por sus siglas en inglés), como Adobe Creative Suite, y servicios de almacenamiento de nube, como Dropbox. Sin embargo, los servicios de terceros también pueden ser puntos de entrada para la desinformación, la disrupción y los ciberataques. Esto es un riesgo particularmente alto en las plataformas de redes sociales, que son objetivo común de la manipulación y el abuso.

Crea una cuenta pública y privada organizacional en las plataformas de redes sociales

La verificación es esencial en redes sociales. Una cuenta que dice representar tu organización periodística puede generar desinformación, engañar a tu comunidad y desacreditar tus esfuerzos. Para ayudar a prevenir este riesgo, crea una cuenta privada y pública para tu organización periodística. Si tu cuenta pública se ve comprometida o atacada, tu cuenta privada puede emitir comunicados públicos y clarificaciones. La mayoría de las plataformas de redes sociales permiten cuentas duales, aunque Facebook puede ser más restrictiva, debido a su política de "nombre real", que obliga a los usuarios a usar un nombre verificable. Sin embargo, Facebook ha extendido algunos permisos especiales a ciertos tipos de cuenta, que incluyen cuentas de periodistas.

Además de las cuentas duales, puedes querer asegurarte de que la autenticación de dos factores y otras características de seguridad estén activadas en las cuentas de todos los terceros, y que tu equipo entienda los ajustes de privacidad en redes sociales, como apagar los datos sobre ubicación.

Qué recomendamos:

Ahora que has tomado pasos para reducir los riesgos de desinformación, puedes asegurar aún más tus cuentas de redes sociales para impedir acceso no autorizado o que alguien se tome tu cuenta. Aquí hay dos pasos para ayudarte en ese proceso.

Verifica tu organización en redes sociales

Aplica para la marca de verificación en todas las cuentas de redes sociales de tu organización. Esto requiere un proceso de aplicación con plataformas individuales de redes sociales, pero indica un nivel de confianza y autenticidad para el público.

Asegúrate de tener varios administradores

Todas las cuentas de redes sociales deberían tener varios miembros del equipo como administradores. Si un administrador se va de la organización, los que quedan pueden reiniciar el acceso a la cuenta y hacer los cambios adicionales que se necesiten. Además, todos los administradores deberían usar autenticación de dos factores en sus cuentas, que puede requerir un proceso de autenticación compartido. Un proveedor de asistencia técnica puede ayudarte usando el código de respuesta rápida (QR) que la plataforma proveyó durante la configuración.

Si tu equipo utiliza herramientas de administración de redes sociales, como TweetDeck, Hootsuite o Sprout, asegúrate de que usen una cuenta administrada desde el trabajo para todos los perfiles de redes sociales asociados con el trabajo.

Provee una plataforma segura para los consejos del público

Las salas de redacción dependen de pistas del público para identificar e investigar historias. Sin embargo, aceptar pistas e información sensible, por medio de redes sociales, no protege tu organización o la fuente. En cambio, considera configurar un canal dedicado a las pistas que sea encriptado y protegido vía un servicio como WhatsApp, Signal o SecureDrop. Puedes leer más sobre cómo las organizaciones periodísticas manejan el proceso de presentación en este artículo de la Freedom of the Press Foundation.

Qué recomendamos:

Tu organización ha logrado buen progreso asegurando tus cuentas, incluyendo la autenticación de dos factores, establecer múltiples administradores y creando una línea segura de pistas. Aquí hay dos pasos adicionales para mejorar la seguridad de servicios de terceros.

Asegúrate de poder borrar o desmantelar tu cuenta

Cuando un miembro de tu equipo se va de tu organización o no está disponible temporalmente, es importante poder acceder y desmantelar cualquier servicio de terceros que podrían estar utilizando. Si bien esto es importante para todos los servicios, es particularmente crítico para las plataformas de redes sociales, que a menudo contienen comunicaciones sensibles o mensajes de la oficina. Asegúrate de que los miembros del equipo tengan las credenciales de ingreso necesarias y otros accesos que puedan reducir los riesgos de dejar estas cuentas sin atención.

Usa tácticas defensivas contra el doxxing

Doxxing, o la práctica de publicar información personal fácilmente identificable en internet, puede ser difícil de sobrellevar a nivel personal y profesional, y es un ataque común contra los periodistas. Por fortuna, hay medidas anti-doxxing que tu organización puede tomar para reducir el riesgo. Estas incluyen buscar proactivamente los nombres de los integrantes de tu equipo en motores de búsqueda populares y eliminar los nombres de los miembros que estén en portales que comercian datos, usando servicios como DeleteMe y Norton LifeLock.

Para administrar trolls en línea y otros ataques, las herramientas como Block Party y proveedores como Tall Poppy pueden darte consejos útiles para poner en práctica.

Otras medidas defensivas que puedes tomar para fortalecer las cuentas de tu equipo son establecer accesos de apoyo para cuentas de terceros, en caso de que un miembro del equipo se enferme, sea arrestado o fallezca, así como asegurar varias cuentas en redes sociales con nombres que suenan parecido, mediante un servicio como DNSTwist.

Por qué recomendamos esto:

En nuestro flujo de trabajo cada vez dependemos más de servicios de terceros, como las plataformas de redes sociales y el software en la nube. Mientras estas herramientas pueden ser muy útiles para nuestro trabajo, también traen consigo riesgos y problemas considerables. Entender cómo administrar servicios de terceros apropiadamente puede mantener más segura a tu organización y a tu equipo más informado con respecto a cómo deberían realizar su trabajo.

Un ejemplo ficticio:

El equipo de la oficina de VTA en Honduras ha escrito una serie de artículos de investigación sobre la amenaza que enfrentan las comunidades rurales que hacen parte de su cubrimiento periodístico. Esto ha llamado la atención de varios propietarios de tierra que han expresado su disgusto. Como resultado, las redes sociales relacionadas con Honduras de VTA experimentan una ola de abusos en línea. Para impedir riesgos mayores para su equipo, la administración de VTA en Honduras activa la autenticación de dos factores en sus canales de redes sociales y elimina la información personal sobre el equipo de su portal.

Red Privada Virtual (VPN)

Tu organización tuvo un puntaje básico de seguridad en esta área, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

Tu organización pudo haber considerado una red privada virtual (VPN), pero no estaba segura de cuál elegir. También es posible que esta sea la primera vez que escuchas de un VPN. Sea como fuere, el uso de VPN es cada vez más popular en la red a causa de las preocupaciones por la privacidad y protección de datos. En general, recomendamos que tu organización use un VPN. Aquí te explicamos cómo comenzar.

Comprende las ventajas y desventajas del uso de VPN

Cuando haces búsquedas en internet sin un VPN, tu proveedor de servicio de internet (ISP, por sus siglas en inglés) puede ver todos los portales que visitas, así como la fecha en que los visitaste. Cada vez más, los portales mismos llevan registro de una alta cantidad de tus datos a medida que navegas.

Al usar un VPN, estás haciendo más borrosa la información que tu ISP puede recoger, así como la información que algunos portales registran sobre ti. Le estás dando en cambio esa información al proveedor de VPN, que encripta tu conexión a internet.

Dependiendo de cuál es tu proveedor de VPN, esto podría ser más seguro, más riesgoso, o tan riesgoso como darle tus datos a tu ISP. Por lo general, si eliges un proveedor de VPN con buena reputación, y por el que estás pagando, tus datos estarán más seguros que navegar sin VPN. Si pagas por tu VPN bajo en nombre de tu organización, tendrás privacidad añadida, incluso más si pagas por el servicio usando un alias.

Tu proveedor de asistencia técnica puede ayudarte con este paso. También es importante que tengas en cuenta que en algunos países y regiones el uso de VPN es ilegal, así que conoce las restricciones locales antes de seleccionar un servicio.

Evalúa tu presupuesto y elige un VPN que se ajuste a este

Hay muchas variedades y precios de VPN. Por fortuna, la mayoría tienen un costo razonable. No recomendamos que las organizaciones periodísticas se apoyen en un VPN completamente gratuito por preocupaciones relacionadas con la privacidad y los datos. Muchas compañías de VPN, como Tunnel Bear and Mullvad, ofrecen suscripciones gratis anuales para algunas organizaciones, pero es mejor que esta opción sea aprovechada por grupos que no tienen recursos financieros o son muy bajos. Para conocer más detalles sobre el tema, puedes consultar un proveedor de asistencia técnica que te aconseje cómo elegir un VPN, y leer artículos como esta guía del New York Times.

aA pesar de las advertencias que hace el navegador, el modo de navegación incógnito o privado aún confunde a muchos usuarios de internet. Este modo abre una nueva ventana en tu navegador que no guarda las búsquedas o visitas en la red. Mientas esto puede parecer que hace completamente segura tu historia de navegación, tu ISP aún puede rastrear todos los portales que visitas, aunque tu navegador no guarde tu historial. Un VPN, en cambio, impide que tu ISP recoja datos, pero el proveedor de VPN puede recoger esos mismos datos

Si bien estar incógnito o en modo de navegación privado impide que el navegador rastree los portales, usar un VPN por sí solo no lo impide. Entender estas distinciones es importante para que tu equipo elija qué pasos tomar durante su trabajo diario.

Qué recomendamos:

Tu organización entiende las ventajas y desventajas de los servicios de VPN y ha elegido un servicio que trabaja de acuerdo a sus necesidades. Si estás usando un VPN comercial estándar, hay otras opciones ligeramente más complejas que pueden mejorar tu seguridad.

Piensa en tener una alternativa más técnica

Crear tu propio VPN puede ser técnicamente complicado, pero te permite controlar mejor tus datos y privacidad. En lugar de depender de un proveedor comercial, un VPN hecho por ti mismo te permite elegir mejor una herramienta específica que cumpla con tus necesidades de seguridad.

Google ofrece un servicio en línea llamado Outline, que les permite a las organizaciones construir su propio VPN por un costo de 10 dólares mensuales. Outline funciona bien en la mayoría de los contextos, incluyendo áreas en las que el uso de VPN puede notarse o ser bloqueado. (No es una solución para los países o regiones donde los VPN están prohibidos). Por otro lado, una opción ligeramente más compleja es Algo, desarrollado por la firma de seguridad Trail of Bits, que ayuda a las organizaciones configurar su propio servidor VPN.

Si bien no es un VPN, una herramienta como Firefox DoH puede hacer más seguro tu navegador y puedes usarlo junto con tu actual proveedor de VPN. Probablemente debas trabajar con un proveedor de asistencia técnica para activar cualquiera de estas soluciones para tu organización.

Qué recomendamos:

Has invertido tiempo, dinero y esfuerzo en encontrar la solución de VPN adecuada para tu organización. Ahora puedes ampliar el uso de redes privadas para salvaguardar el acceso a tu portal y tu investigación en línea.

Crea listas de "aceptables" y "bloqueados"

La mayoría de los servicios de VPN les dan a los usuarios la opción de generar direcciones estáticas de protocolo de internet (IP, por sus siglas en inglés) a sus usuarios. Esto quiere decir que un miembro del equipo en tu organización puede usar la misma dirección IP, la información asociada con la conexión de internet que la identifica, cada vez que usan el VPN. Esto les permite a los administradores crear listas "aceptables" de usuarios a partir de direcciones IP pre-aprobadas, que pueden tomar ciertas acciones, como visitar las zonas traseras de tu portal o la Intranet de tu organización. Todos los demás estarían en la lista de "bloqueados", que no tienen acceso a estas partes sensibles de tu sistema. Un proveedor de asistencia técnica puede ayudarte a establecer estas listas con el VPN de tu elección.

Entiende cuándo usar Tor

El navegador Tor ha sido una herramienta popular entre periodistas que están preocupados por sus actividades en línea y que son rastreados por proveedores de servicios de internet de gobiernos y otras organizaciones. Tor ofrece un grado más alto de privacidad y anonimidad que el navegador estándar o un VPN, porque rebota el tráfico del usuario por una serie de servidores, lo cual hace mucho más difícil que un adversario determine de dónde se origina el tráfico. Puedes leer más sobre cómo funciona Tor en este portal de Tor Project.

Muchas organizaciones usan Tor solamente para investigaciones sensibles, dado que la experiencia de navegación puede ser más lenta que un navegador convencional, y hay una curva de aprendizaje para emplear apropiadamente la herramienta. Sin embargo, Tor es una opción reputada y confiable para la navegación anónima. Habla con tu proveedor de asistencia técnica sobre cómo incorporar Tor en tu flujo de trabajo.

Por qué recomendamos esto:

Un VPN nos permite tener un grado más alto de privacidad cuando hacemos nuestro trabajo en línea. Sin embargo, seleccionar e implementar el VPN adecuado no siempre es la decisión más sencilla. Trabaja con un proveedor de asistencia técnica para determinar cuál servicio de VPN es adecuado para ti.

Un ejemplo ficticio:

La oficina de VTA en Bogotá a menudo realiza investigaciones sensibles sobre derechos y registros de propiedad en Colombia. El departamento de investigación a menudo usa Tor para navegar temas sensibles, mientras toda la oficina usa un VPN en particular.

Eventualmente, los administradores en la oficina de VTA se dan cuenta de que necesitan aún más control sobre sus datos de navegación, y deciden construir su propio VPN usando el servicio Outline de Google, con la ayuda de un proveedor local de asistencia técnica.

Seguridad física

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la seguridad de tu organización.

Qué recomendamos:

Crea una política de registro

Los periodistas con los que trabajas pueden enfrentar acoso y amenazas por su labor. Si sus reportajes enfurecen a una organización poderosa o al gobierno, podrían ser perseguidos, vigilados o incluso arrestados.

Como líder de una sala de redacción, tienes la responsabilidad de cuidar y asegurarte que tus periodistas puedan realizar su trabajo de la forma más segura posible. Hay muchos pasos que puedes tomar para mejorar la seguridad de tus reporteros, pero una de las medidas básicas más efectivas es instituir una política obligatoria para reportarse.

Un periodista generalmente se reporta cuando está en un viaje de trabajo. Deben reportarse con un editor (generalmente por teléfono, si es posible) durante ciertos momentos a lo largo de su trabajo. Durante la conversación, el periodista debería señalar si se siente inseguro o si ha notado algo inusual o alarmante mientras realiza su trabajo de reportería. Si el periodista no cumple la hora acordada para reportarse, sus supervisores deberían iniciar la fase siguiente del plan, que típicamente quiere decir llamar a los contactos de emergencia para verificar el estado del periodista.

Puedes leer más sobre las políticas para reportarse y otras medidas que puedes tomar para mantener seguros a tus periodistas en el documento Pre-Assignment Security Assessment, del Committee to Protect Journalists.

Una política adicional que puedes querer añadir es informar obligatoriamente sobre cualquier amenaza que un periodista reciba durante su trabajo. Los periodistas pueden tener dudas sobre si reportar amenazas u otros incidentes, pero informar a un supervisor es crítico para que los líderes puedan ajustar los planes de seguridad de forma adecuada.

Busca apoyo de un socio regional

Si uno de tus periodistas es arrestado, detenido, amenazado o atacado por su trabajo, una de las respuestas más efectivas es contactar a organizaciones locales, regionales y de libertad mundial de la prensa. La presión de apoyo externo puede persuadir a los gobiernos, grupos criminales y otras organizaciones para que liberen a los periodistas cautivos, o les permitan hacer su trabajo sin que se les haga daño.

Algunos de los grupos que pueden ofrecer este tipo de apoyo son el Committee to Protect Journalists, Article 19, Free Press Unlimited, Freedom of the Press Foundation, Reporteros Sin Fronteras y tu asociación local o regional de prensa.

También puedes querer contactar a organizaciones que se especialicen en periodismo de investigación, para recibir apoyo relacionado a cómo hacer tu trabajo de forma más segura. Estas organizaciones incluyen al Organized Crime and Corruption Reporting Project y el International Consortium of Investigative Journalists.

Trabaja con un abogado

A menudo las personas poderosas pueden usar leyes locales para silenciar, intimidar o acosar a los periodistas. Trabajar con un abogado puede ayudarte a comprender mejor cómo contrarrestar acciones legales injustas que afectan a tu equipo o tu trabajo. Esto incluye arrestos, detenciones y prisión.

Si necesitas encontrar un abogado, un buen recurso es la International Bar Association, que defiende a los abogados en todo el mundo. Puedes también aprovechar una facultad local de derecho, donde los profesores y estudiantes podrían estar dispuestos a asistir gratuitamente a tu organización. Algunas regiones también tienen consultorios legales gratis que ofrecen consejos y guía.

No obstante, si tu organización planea realizar periodismo de investigación en el largo plazo, puedes querer contratar a un abogado que te ayude a revisar las historias antes de ser publicadas.

Evalúa el riesgo de cada reportaje

Antes de hacer un reportaje, deberías hacer una evaluación de riesgo con los periodistas de tu equipo. Si bien algunas áreas de cubrimiento, como las artes y los deportes, pueden ser de bajo riesgo, los periodistas pueden ser objetivo solo porque los identifiquen con una organización periodística de cualquier tipo. Por esto fomentamos evaluaciones de riesgo para cada reportaje que involucre trabajo fuera de la oficina.

Realizar una evaluación de riesgo no tiene que ser una actividad que tome mucho tiempo. Con el tiempo puedes desarrollar una fórmula que funcione para ti. En general, sin embargo, una buena evaluación de riesgo debería:

Identificar amenazas pasadas y presentes en tu área o tema.
Hacer una lista clara de los contactos de emergencia y procedimientos de reportarse con el editor o la administración.
Proveer detalles relacionados con los pasos que tomarás para minimizar el riesgo.

Si apenas comienzas con las evaluaciones de riesgo, algunos recursos que recomendamos son esta plantilla de evaluación de riesgos del Committee to Protect Journalists, el Manual de seguridad para periodistas de la UNESCO y estas guías del Rory Peck Trust.

Qué recomendamos:

Realiza un entrenamiento de seguridad física

Cuando tus periodistas cubren eventos de alto riesgo como protestas, disturbios civiles o conflictos, deben realizar un entrenamiento en seguridad física. Muchos reporteros se benefician de tomar un Entrenamiento en Entornos Hostiles y Primeros Auxilios (HEFAT, por sus siglas en inglés), que ayuda a prepararlos para los riesgos como secuestro, fuego cruzado y guerra. Las organizaciones que proveen cursos HEFAT a menudo ofrecen descuentos para periodistas locales o freelance con presupuestos limitados. Un buen recurso para proveedores calificados de HEFAT es esta guía de la Coalition for Women in Journalism.

Si no puedes acceder a un curso HEFAT, tus reporteros podrían asistir a un curso local de entrenamiento en primeros auxilios. Estos cursos no están específicamente orientados a periodistas, pero pueden proveer habilidades que pueden salvar su vida o la de otros en caso de una herida mayor. El National Safety Council provee un directorio de centros de entrenamiento en primeros auxilios alrededor del mundo, mientras que la Cruz Roja Americana ofrece cursos en línea. El Committee to Protect Journalists también ha creado una serie de videos de instrucción en línea de primeros auxilios. Puedes encontrar otros recursos en tu comunidad.

Usa equipo de protección personal para situaciones hostiles.

Los periodistas que regularmente cubren eventos violentos de cerca deberían llevar equipo de protección personal que les ayude a mantenerse seguros. Este equipo puede ser costoso, pero las organizaciones como Reporteros Sin Fronteras pueden ayudar a las salas de prensa acceder a equipo con un descuento.

Como mínimo, los periodistas deberían estar equipados con protección ocular para impedir heridas a sus ojos por esquirlas, escombros o armas. Gafas anti-balística como las que utilizan las fuerzas militares son las que mejor protegen, pero gafas de racquetball o industriales también pueden ayudar a proteger los ojos.

También se recomiendan cascos para cualquier situación en la que haya riesgo de proyectiles. Los chalecos protectores vienen en muchas variedades, dependiendo de tu nivel de riesgo, así que consulta con un proveedor de seguridad, para determinar si y cuándo los chalecos son necesarios para tu trabajo.

Adicionalmente, todos los periodistas que trabajan en el terreno deberían idealmente llevar un botiquín de primeros auxilios y saber cómo usarlo en una emergencia.

Qué recomendamos:

Trabaja en parejas

Los periodistas a menudo sienten que trabajan mejor solos, pero hacerlo así implica riesgos significativos. Incluso algo tan simple como reunirse con una fuente en público puede hacer del periodista un objetivo. Muchos de quienes cubren historias de alto riesgo trabajan en parejas, a menudo en una pareja compuesta por un periodista escrito y un fotoperiodista, o un presentador y un camarógrafo que trabajan en equipo.

Esto le permite a un periodista realizar una entrevista o acceder a documentos, mientras el otro periodista está atento a posibles amenazas. Dado que los periodistas han sido víctimas de ataques en público y en sus oficinas u hogares, esta práctica puede proporcionar una capa adicional de seguridad.

Realiza un ejercicio para poner a prueba tus políticas de seguridad

Las políticas de seguridad sólo son efectivas si pueden ser puestas en práctica rápida y efectivamente. Por ello, pon a prueba de manera periódica las políticas usando ejercicios. Esto no solo aplica para las políticas de ciberseguridad, sino también para las de seguridad física.

Por ejemplo, puedes querer poner a prueba un escenario en el que los periodistas son detenidos o arrestados mientras entrevistan a una fuente de alto riesgo. ¿La política de seguridad cubre cómo los reporteros deberían asegurar de forma segura notas escritas o digitales? ¿Cómo y cuándo debería el reportero contactar a su oficina para informarle sobre el arresto?

Identificar áreas de mejora es un paso importante para asegurarte de que tus políticas de seguridad estén actualizadas y sean efectivas.

Por qué recomendamos esto:

El riesgo físico es una realidad desafortunada de trabajar como un periodista que cubre temas criminales, la corrupción y el conflicto. Los datos del Committee to Protect Journalists muestran que los periodistas locales cubriendo temas de alto riesgo son un objetivo común. Invertir tiempo y recursos en proteger a tu equipo y tus colegas debería ser una prioridad.

Un ejemplo ficticio:

Los reporteros de VTA están cubriendo las protestas por la desigualdad de ingresos en Chile. Cuando la policía acalla las protestas, los periodistas son golpeados o arrestados a pesar de llevar identificación de prensa. Para protegerse, los periodistas de VTA trabajan con otros reporteros locales en equipos, ayudando a identificar la potencial violencia antes que surja. También juntan sus recursos y compran protección ocular y cascos de balística, para usar mientras hacen el reportaje de las protestas.

Riesgos asociados

Tu organización tuvo un puntaje básico de seguridad, con campo para mejorar. ¡No te preocupes! Hemos reunido algunas recomendaciones para mejorar la ciberseguridad de tu organización.

Qué recomendamos:

El acoso en línea e incluso el hackeo de portales puede escalar a amenazas en el mundo físico o ciberataques de alto nivel. Aunque es tentador descartar estos eventos como un costo molesto, pueden ser una amenaza mayor de lo que crees. Aquí hay formas de comenzar a mitigar estos riesgos:

Crea una política para amenazas y acoso

Antes que una campaña de acoso en línea escale a la violencia, establece una política de amenaza y acoso para tu organización. Por ejemplo, la política podría decir que cualquier miembro del equipo que sea acosado en línea por su trabajo profesional o vida personal debe reportar el incidente a sus superiores. Un reporte debería elevar la alerta dentro de la oficina durante al menos una semana y detonar una serie de medidas de seguridad cuidadosamente documentadas. Como mínimo, las organizaciones deberían reunir la evidencia del acoso y reportar el abuso a la plataforma que usaron los acosadores.

También podrías querer tener en cuenta reportar el acoso al proveedor de servicios de internet del acosador. Aunque no siempre tienen la obligación de actuar, los proveedores de servicio de internet pueden tener el poder de expulsar o bloquear a un cliente que viola sus términos de servicio. Aunque no siempre es posible, considera permitir a los miembros del equipo mantener su trabajo en perfiles de redes sociales como privado, lo que ayuda a reducir ataques.

Para administrar mejor el acoso en línea, recomendamos herramientas como Block Party y proveedores como Tall Poppy.

Qué recomendamos:

Has tomado algunos pasos importantes para proteger a tu equipo del acoso en línea, el abuso y el hackeo. No obstante, hay pasos adicionales que puedes tomar para anticipar riesgos y evitarlos en el futuro.

Toma pasos para reducir las amenazas emergentes

Estar un paso adelante de los potenciales adversarios puede ayudarle a tu equipo a evitar ciberataques estresantes y tensionantes. Google y otros motores de búsqueda ofrecen alertas para información sensible que aparece en línea, como el apellido de los miembros del equipo y la dirección de su hogar. Otros servicios comerciales, como TalkWalker y Mention, pueden buscar en redes sociales palabras preocupantes. ChangeTower permite que los usuarios lleven registro de los cambios a las páginas de Wikipedia y otros portales, que a menudo pueden ser precursores al acoso.

Aunque recomendamos tener cuidado con LinkedIn, también puede ser usada como una herramienta de investigación para quien está observando los perfiles del equipo. Dentro de la organización, considera hacer anónima la información específica del equipo (como la información sobre su familia o su vida privada) y elimina los rostros e imágenes del equipo.

Qué recomendamos:

Eres proactivo sobre proteger a tu equipo de acoso, abuso y hackeo en línea. Aquí hay dos pasos adicionales que puedes tomar para reducir más este riesgo:

Monitorea y elimina información personal en línea

Si estás preocupado de que los miembros de tu equipo tengan información en línea que los identifique personalmente, puedes trabajar con proveedores comerciales para eliminar temporalmente esta información. Los servicios incluyen Abine DeleteMe, PrivacyDuck, Reputation Defender y Norton LifeLock, aunque es importante anotar que estos principalmente eliminan datos que hay en las bases de datos de marketing y ventas de los Estados Unidos.

Tu equipo puede también considerar la creación de números de teléfono virtuales para temas laborales, en lugar de usar los números de teléfono personales. Esto puede incluir la configuración de cuentas en línea y servicios de mensajería como WhatsApp. Google Voice y Skype proporcionan números de teléfono virtuales.

Observa señales tempranas

Mantenerse proactivas con respecto a las amenazas en línea puede ayudar a las organizaciones a responder rápidamente cuando sus proyectos o su equipo sean un objetivo en línea. Las herramientas de moderación de contenidos, como Perspective API y The Coral Project pueden usar inteligencia artificial para rastrear y llevar la cuenta de los comentarios que dejan en tus artículos o tu portal. Herramientas como CrowdTangle, SMAT (Social Media Analysis Toolkit) y Babel Street, pueden ayudarle a tu sala de redacción a monitorear las redes sociales, para identificar campañas de desinformación sobre tu trabajo. Puedes también trabajar con un proveedor de asistencia técnica para analizar tu tráfico en red e identificar anomalías, como acosadores que no están ocultando sus identidades reales, o que están enviando mucho tráfico de referencia a tu portal, desde reconocidos portales de trolls, como 8chan.

Por qué recomendamos esto:

Los riesgos digitales pueden rápidamente escalar a riesgos físicos. Entender cómo detectar, rastrear y mitigar este tipo de riesgos puede mantener a tu equipo a salvo. Esto puede exigir un nivel más alto de lo normal de vigilancia de tu parte, pero implementar una serie de políticas, e incorporar algunas herramientas a tu flujo de trabajo puede ayudar mucho.

Un ejemplo ficticio:

La oficina de VTA en Paraguay se ha vuelto objeto de una campaña local de desprestigio, por parte de un multimillonario cuya compañía ha estado arrojando químicos a los suministros de agua para agricultura. El magnate dice que VTA es una compañía fachada creada por el brazo de inteligencia de los Estados Unidos, que busca investigarlo. VTA, una organización independiente, rechaza estas acusaciones, pero no antes que una banda de trolls acose en línea a los periodistas de VTA.

Para lidiar con la campaña de acoso, VTA instituye una política que exige reportar todo acoso personal o profesional en línea, y elimina de su portal las fotografías de los rostros de sus periodistas.

Save and Email

Empieza el JSAT

Sección 1: Seguridad operacional

Seguridad operacional (2 de 3)

Seguridad operacional (3 de 3)

Seguridad en dispositivos

Seguridad de cuentas

Seguridad Física

Riesgos asociados

Understanding Your Score

Documentación y políticas

Riesgos internos (intencionales o no)

Entrenamiento y apoyo del equipo

Seguridad al viajar

Seguridad de los datos

Seguridad del sitio web

Seguridad de la oficina

Enviando mensajes y colaborando

Riesgos legales

Seguridad en dispositivos

Seguridad de softwares

Encriptación de datos

Gestores de contraseñas y autenticación

Continuidad operacional

Servicios de terceros

Red Privada Virtual (VPN)

Riesgos asociados