Desde hace mucho años, las organizaciones defensoras de los Derechos Humanos y medios de comunicación emergentes han enfrentado un sinfín de amenazas realizadas y potenciales, ya sea por parte de estados autoritarios, intereses empresariales, organizaciones extremistas o grupos afectados entre muchos otros. Tomando esto en cuenta, la necesidad de seguridad en las operaciones de este tipo de organizaciones no ha hecho sino crecer, aumentando exponencialmente en la última década cuando se masifica la integración de diferentes soluciones tecnológicas disponibles a las operaciones de las organizaciones. Mientras tanto, desde la industria privada y organismos regulatorios, se comenzaron a desarrollar especificaciones, marcos de referencia y metodologías para generar políticas y protocolos de seguridad que permitieran proteger de forma adecuada los datos y recursos de las empresas y las hicieran cumplir con la ley. Sin embargo, los marcos de referencia desarrollados resultaron sumamente complejos, largos y costosos de implementar para la mayoría de las organizaciones de la sociedad civil que manejan presupuestos ajustados y ciclos de financiamiento inconstantes, lo que condujo en que implementar políticas formales de seguridad resulte privativo y lejano para la mayoría de las organizaciones de la sociedad civil.
Para atacar este problema, surgieron muchas iniciativas que buscaron aumentar el conocimiento en seguridad de la información de las organizaciones de la sociedad civil y activistas, ayudándolos a generar criterios de selección de herramientas y de diseño de procesos implementando medidas de resguardo de la información y otros recursos. Algunas de estas iniciativas fueron más allá y generaron metodologías para evaluar el nivel de seguridad de las organizaciones, adaptar el contenido a grupos específicos u ofrecer herramientas a la comunidad creciente de facilitadores y entrenadores que atienden a las organizaciones que más necesitan implementar seguridad en sus operaciones. Aunque la aparición de estas iniciativas significó una mejora crucial para la seguridad de las organizaciones beneficiarias, siguen quedando algunos vacios donde se puede optimizar el alcance de las estrategias de seguridad, sobretodo para que estas perduren en el tiempo.
Esta guía busca llenar parte de ese vacio adaptando y simplificando las metodologías disponibles bajo estándares de la industria privada y mezclándolas con otros materiales existentes en el area de seguridad para organizaciones de la sociedad civil, con la experiencia de varios implementadores de seguridad de la información en campo con organizaciones defensoras de Derechos Humanos y medios de comunicación independientes en Latinoamérica durante aproximadamente 5 años para el momento de publicación de esta guía. Mas específicamente, esta guía excluye deliberadamente ciertos procesos y políticas ampliamente abordadas en materiales dirigidos a la industria privada en función de reducir a lo esencial la cantidad de actividades y tiempo que se debe invertir en su ejecución, entendiendo que las organizaciones objetivo normalmente carecen del tiempo, recursos o personal para desarrollar una estrategia de seguridad tan rigurosa como lo proponen los estándares disponibles como NIST, COBIT o ISO entre otras. En el caso de que una organización desee profundizar en el desarrollo de políticas y estrategias de seguridad más allá de esta guía, en la sección de referencias se ponen a disposición enlaces o contenidos que desarrollan algunos frameworks y metodologías para construir documentación sobre seguridad para organizaciones.
¿Para quién es esta guia?
En principio, este manual fue diseñado para ser usado por facilitadores en seguridad de la información que deseen complementar su trabajo de capacitación y/o acompañamiento en organizaciones de la sociedad civil (especialmente organizaciones defensoras de los Derechos Humanos y medios de comunicación independientes). Sin embargo, el manual puede ser aplicado por personas dentro de este tipo de organizaciones, facilitadores externos no relacionados directamente con seguridad de la información que se interesen en el tema y prácticamente cualquier persona interesada que se sienta cómoda en seguir las instrucciones de las actividades.
El contenido de este manual también puede ser adaptado a cualquier otro tipo de organización que maneje información sensible, desee aumentar la seguridad en el manejo de la misma, y desee documentar políticas de seguridad que perduren en el tiempo.
Objetivos de la aplicación de este manual
- Construir politicas y procedimientos de seguridad para organizaciones de la sociedad civil que se adapten a sus características operativas, respondan a las necesidades de sus contextos cambiantes y proyección en el futuro.
- Aumentar el entendimiento del concepto de seguridad en los integrantes de las organizaciones de la sociedad civil en riesgo.
- Introducir a las organizaciones de sociedad civil (especialmente a las organizaciones defensoras de los Derecho Humanos y medios de comunicación independientes) en el modelo de amenazas, y el análisis de riesgo, así como otras metodologías básicas de levantamiento y evaluación del nivel seguridad organizacional.
¿Cómo está estructurada la guía?
Esta guía está dividida en 3 secciones principales, las cuales contienen un grupo de actividades:
En la primera sección se busca explorar el contexto de la organización y algunos de sus procesos internos, una vez levantada la información se establecen las bases de las primeras políticas de seguridad de la organización (Política de clasificación de información y política de retención de datos).
La segunda sección desarrolla una por una otras políticas de seguridad a través de actividades facilitadas, mientras que la tercera sección introduce y orienta en la construcción de los conceptos de modelos de amenazas y procedimientos de seguridad, haciéndo enfasis en la creación de matrices de riesgo, planes de sucesión, de comunicaciones y secuencia del protocolo.
Al final se expone una sección con referencias que recopila enlaces de proyectos, bibliografía e iniciativas que complementan las actividades cubiertas, así como los próximos pasos para ampliar, profundizar y perfeccionar las políticas construidas con este material.
En cada sección se propone un conjunto de actividades que explican el proceso de facilitación que se debe seguir para generar los productos propuestos, cada actividad tiene la siguiente información:
- Tiempo estimado de realización de la actividad, el cual puede variar en función del tamaño del grupo, la destreza del facilitador y los pasos considerados en cada actividad a ejecutar.
- Preparación previa de la actividad en términos de investigación o levantamiento de datos de la organización.
- Materiales requeridos para ejecutar la actividad.
- Instrucciones de la actividad, normalmente en una secuencia de pasos con las acciones a realizar y en los casos que aplique gráficos descriptivos.
- Cierre de la actividad en donde se hace un recuento de lo que se logró y para qué servirán los productos generados.
- Referencias que se hacen durante el desarrollo de la actividad.