Introducción

Esta guía busca apoyarte en la implementación de aspectos de seguridad digital, como prácticas, políticas y herramientas diseñadas para proteger la información y los sistemas. 

Brinda orientación precisa a organizaciones de la sociedad civil que aspiran a institucionalizar medidas robustas de seguridad digital. Desde la formulación de políticas de seguridad de la información hasta la capacitación de los equipos en buenas prácticas de seguridad digital, exploraremos aspectos esenciales para reforzar la resiliencia digital.

¿Por qué es importante?

    • Protección de datos sensibles: Las filtraciones de datos y violaciones de la privacidad son desafíos comunes. Por ejemplo, una persona, colectivo u organización de derechos humanos puede almacenar datos de activistas en riesgo, de allí que requiera controles para garantizar que solo las personas autorizadas puedan acceder a esta información sensible.
    • Cumplimiento normativo y legal: Las organizaciones de sociedad civil también deben cumplir con regulaciones de protección de datos y privacidad. Por ejemplo, una fundación benéfica debe cumplir con la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) al manejar datos de personas beneficiarias, equipo de trabajo y donantes; en este caso, las políticas de privacidad deben ser claras y los procedimientos de consentimiento bien comunicados con todas las partes interesadas. Para saber más, consulta el Manual de protección de datos personales para organizaciones de sociedad civil.
    • Preservación de la confianza: Organizaciones e individuos deben asegurar la protección de la información sensible para mantener la confianza de su comunidad y de la sociedad en general. Por ejemplo, un periodista que trabaja en la exposición de casos de corrupción debe implementar medidas rigurosas de seguridad de datos para proteger sus fuentes y mantener la credibilidad en su labor investigativa.
    • Protección contra la desinformación: La desinformación en línea es una amenaza. Las medidas de seguridad para la gestión de redes sociales y otros canales de comunicación deben estar diseñadas para detectar y contrarrestar la difusión de información errónea y/o sacada de contexto, asegurando así la integridad de la información compartida.
    • Gestión de acceso durante la incorporación y retiro de miembros: Los controles de seguridad digital también deben garantizar que los miembros que ingresan a un colectivo, grupo, red o movimiento tengan acceso adecuado y seguro a los recursos digitales, así como para revocar ese acceso de manera oportuna cuando se produce el retiro. Esto evita posibles amenazas internas y mantiene la integridad de los datos y sistemas.

Conceptos básicos

La construcción de un entorno digital seguro y confiable requiere la compresión de varios conceptos fundamentales. Al elaborar políticas, protocolos y lineamientos, es importante entender cómo se relacionan y distinguen entre sí. Para comenzar, están los controles de seguridad digital que forman la base operativa y táctica, mientras que las políticas de seguridad digital establecen la visión y el marco estratégico dentro del cual esos controles deben funcionar y adquieren propósito. Los protocolos y lineamientos, por su parte, actúan como puentes entre la teoría y la práctica, traduciendo políticas en acciones concretas; estos detallan controles en cuanto a cómo se deben aplicar y gestionar en la práctica.

Aunque estrechamente relacionados, cada uno cumple una función única y complementaria. Al definir políticas, es esencial identificar los controles adecuados que las respalden y los protocolos y lineamientos que aseguren su implementación efectiva y coherente. En conjunto, forman un ecosistema interconectado que, cuando se gestiona adecuadamente, refuerza la postura de seguridad de cualquier grupo o individuo en el mundo digital.

Controles de seguridad digital

Los controles de seguridad digital son como nuestro kit de herramientas que nos ayudan a mantener seguros nuestros datos y sistemas ante amenazas digitales. Son una serie de medidas, normas y prácticas concretas diseñadas para blindar nuestros sistemas de información, redes y recursos digitales ante las amenazas que acechan. La meta principal de estos controles es minimizar los riesgos de seguridad, resguardando lo que es clave: la privacidad, integridad y disponibilidad de nuestra información, con un especial cuidado hacia la información sensible. Podemos agrupar estos controles en cuatro categorías:

Preventivos: Están diseñados para evitar que las amenazas digitales nos afecten. Algunos ejemplos incluyen firewalls, antivirus, políticas de contraseñas robustas y la autenticación de dos factores.

Detectivos: Se enfocan en identificar amenazas o incidentes de seguridad lo más pronto posible. Utilizan sistemas de monitoreo en tiempo real, registros de eventos y análisis de seguridad. Algunas tecnologías avanzadas pueden ser exploradas caso por caso para ver si se ajustan a las necesidades de la sociedad civil.

Correctivos: Se activan después de un incidente de seguridad o ante ataques dirigidos para mitigar los daños y restaurar la operación normal. Esto puede incluir la recuperación de datos desde copias de seguridad y la aplicación de parches de seguridad.

Compensatorios: Se utilizan cuando no es posible implementar controles preventivos o detectivos adecuados. Ayudan a compensar la falta de seguridad en una área con medidas adicionales en otra, asegurando que tengamos una protección adicional.

Veamos ejemplos de cada uno:

Tipo de Control

Ejemplos

Controles Preventivos

Capacitación en seguridad, políticas de contraseñas fuertes, uso de VPNs para conexiones seguras.

Controles Detectivos

Monitoreo de redes sociales para detectar campañas de desinformación, sistemas de alerta de intentos de acceso no autorizado.

Controles Correctivos

Planes de respuesta a incidentes, procedimientos de recuperación de datos.

Controles Compensatorios

Uso de tecnologías de anonimato como Tor cuando la seguridad de la red es insuficiente, programas de revisión de seguridad entre pares.

Cada tipo de control de seguridad digital juega un papel en la configuración de políticas de seguridad robustas. Los preventivos inspiran políticas que evitan ataques mediante herramientas y prácticas proactivas, mientras que los detectivos subyacen a políticas enfocadas en la identificación y alerta temprana de amenazas. Los correctivos son fundamentales para formular políticas de recuperación y contingencia, trazando el camino hacia la restauración tras un incidente. Por su parte, los compensatorios son clave en la elaboración de políticas alternativas que refuerzan la seguridad en áreas donde otros controles son limitados.

En resumen, la interacción de estos controles proporciona una base sólida para el desarrollo de políticas de seguridad digital integral y adaptada a las necesidades del entorno.

Políticas de seguridad digital

Las políticas de seguridad digital son como las reglas del juego para asegurar los recursos sensibles y valiosos de las causas que defendemos tanto a nivel individual, colectivo y organizacional. 

Establecen las normas básicas sobre cómo manejar y proteger la información, definiendo quién hace qué, cómo se clasifican los datos, quién puede acceder a qué, y qué pasa si alguien no sigue las reglas. Dependiendo del tamaño y la naturaleza de tu grupo, puedes tener diferentes niveles de políticas de seguridad. Aquí te presentamos una estructura en dos niveles:

Política global: Es como el manual general de seguridad digital. Establece la visión general y los objetivos sobre lo que es importante proteger. Por lo general, se empieza identificando y clasificando la información que es sensible en tu causa.
Ejemplo:  Imagina un colectivo que trabaja con comunidades vulnerables; una política global podría ser que toda información personal de los miembros de estas comunidades debe ser tratada como confidencial y almacenada de forma segura.

Políticas de asuntos específicos: Son como guías específicas de seguridad digital; pueden ser por áreas (como trabajo de campo o comunicaciones) o por temas (como autenticación digital o acceso físico). Estas políticas establecen los principios y expectativas para esas áreas o temas, delineando el qué y el porqué de las prácticas de seguridad. De allí, se derivarán los protocolos y lineamientos, cuya función es responder con detalle al cómo, traduciendo las políticas en procedimientos operativos detallados y pasos accionables.
Ejemplo: Si tienes un blog, podrías tener una política sobre quién puede publicar en el blog y cómo se revisan y aprueban las publicaciones para asegurar que no se divulgue información sensible. También están las políticas de cómo se deben gestionar las contraseñas.

No es necesario tener un documento separado para cada una de estas políticas, pero es bueno separar las ideas generales de las instrucciones específicas. Esto significa que podrías tener en un documento al inicio la política general y más adelante ir desglosando las políticas específicas que se alinean con esta. También es necesario tener un método para mantener estas políticas actualizadas, comunicarlas a colegas o miembros de tu causa y revisar regularmente cómo se están siguiendo.

Protocolos y lineamientos

Los protocolos y lineamientos son herramientas operativas esenciales que conectan las políticas de asuntos específicos y los controles de seguridad digital con la práctica diaria. 

Respecto a las políticas de asuntos específicos, los protocolos y lineamientos toman los principios y normas establecidos y los desglosan en procedimientos operativos y recomendaciones prácticas.

Si una política de asuntos específicos trata sobre la gestión segura de contraseñas, el protocolo correspondiente ofrecería un conjunto de instrucciones paso a paso para implementar esa política, especificando cómo se deben crear, gestionar y actualizar las contraseñas. En cuanto a los controles, los protocolos y lineamientos delinean la implementación práctica de estos controles. Un control preventivo, como la configuración segura de los sistemas, se materializa a través de protocolos que detallan ese proceso y lineamientos que sugieren las mejores prácticas para lograrlo.

Definamos claramente:

Protocolos: Son instrucciones obligatorias y detalladas que garantizan el cumplimiento de las políticas de seguridad y la adecuada implementación de los controles. Por ejemplo, un protocolo puede especificar el procedimiento exacto para cambiar periódicamente las contraseñas en todos los sistemas.

Lineamientos: Ofrecen recomendaciones que, si bien no son obligatorias, guían la implementación de buenas prácticas de seguridad. Un lineamiento puede aconsejar sobre la mejor forma de responder a un correo electrónico sospechoso para prevenir ataques de phishing.

⚠️ NOTA IMPORTANTE ⚠️

Mientras los protocolos son las reglas definidas que deben seguirse, los lineamientos son consejos prácticos que nos ayudan a fortalecer nuestra seguridad digital, proporcionando un grado de flexibilidad en su aplicación.

Mitos

Es común encontrarse con ciertos mitos que pueden desviar o complicar nuestro camino hacia la protección efectiva de nuestra información y actividades. Desmitificar estas ideas erróneas desde el inicio, facilitará un enfoque más claro y efectivo en el diseño e implementación de políticas, protocolos y lineamientos que realmente resguarden nuestra integridad digital. 

A continuación, desmentimos algunos mitos comunes que podrías encontrar en este camino.

Solo para gigantes: Solo las grandes organizaciones necesitan políticas.

    • Realidad: Todas, sin importar su tamaño, se benefician de políticas claras.
    • Acción Recomendada: Comienza con políticas básicas y ve ajustando conforme a las necesidades.

Es un lujo: Desarrollar políticas es caro.

    • Realidad: No tiene que ser costoso; lo importante es la reflexión y adaptación a tus necesidades.
    • Acción Recomendada: Utiliza recursos y plantillas disponibles en línea como punto de partida.

Esculpidas en piedra: Una vez hechas, no requieren actualización.

    • Realidad: Es crucial revisarlas y actualizarlas regularmente.
    • Acción Recomendada: Programa revisiones periódicas y ajustes conforme a los cambios en el entorno digital.

Rigidez robótica: Son rígidos y limitan la flexibilidad.

    • Realidad: Deben proporcionar una estructura flexible que permita adaptarse a desafíos.
    • Acción Recomendada: Incluye mecanismos de retroalimentación y ajuste en tus políticas.

Empezar por la evaluación de riesgos

Antes de adentrarnos en la elaboración de políticas y controles de seguridad digital, es crucial entender los riesgos específicos que enfrentamos. Es como saber dónde está lloviendo antes de decidir dónde colocar los paraguas. La pregunta central es: ¿Qué estamos protegiendo y de qué lo estamos protegiendo? Dicho de otro modo, según las actividades que realizamos y la información que manejamos a diario, ¿qué riesgos enfrenta esta información y cuáles son las amenazas potenciales para ella? Cada individuo o grupo tendrá un perfil de riesgo único.

En lugar de simplemente adoptar todas las medidas de seguridad posibles, es mucho más efectivo y eficiente realizar primero una evaluación de riesgos. Este análisis nos permitirá identificar dónde es prioritario aplicar medidas de seguridad, asegurando que nuestros esfuerzos y recursos se dirijan de manera estratégica hacia la mitigación de los riesgos más significativos.

La implementación de políticas

La preparación para la implementación de políticas de seguridad digital sienta las bases para una gestión de la seguridad efectiva. Es como preparar el terreno antes de construir una casa. Esta fase inicial no solo ayuda a comprender los riesgos y las necesidades específicas, sino que también facilita la creación de un entorno propicio donde las políticas y los controles pueden ser introducidos y adoptados de manera efectiva.

Elementos para el éxito

via GIPHY

Aprobación: Obtener el visto bueno de forma participativa para la política propuesta. Esto asegura la coherencia de la política con los valores y objetivos de la comunidad, colectivo o grupo y demuestra el compromiso con la seguridad digital. Ejemplo: En una red de activistas, designar un grupo de revisión para evaluar y aprobar la política, garantizando que esté alineada con las metas del grupo.

Divulgación: Comunicar la política de seguridad digital a todos los actores involucrados. Esto asegura que haya una base de conocimiento y acuerdos con las expectativas de seguridad digital. Ejemplo: Enviar un boletín informativo a una red de periodistas con un resumen de la política y enlaces a recursos adicionales.

Apropiación: Asegurar que los individuos y equipos asuman la responsabilidad de cumplir con la política en su rutina diaria. Esto facilita la adherencia a la política y fomenta una actitud proactiva hacia la seguridad digital. Ejemplo: Implementar un sistema de reconocimientos en una comunidad de activistas para destacar y celebrar el cumplimiento proactivo de las políticas de seguridad digital.

Estructura de una política de seguridad digital

Al diseñar una política de seguridad digital, estamos estableciendo las reglas y las expectativas para mantener nuestra información y sistemas seguros. La política debe ser clara, concisa y fácil de entender para todas las personas. A continuación, se presenta una estructura sencilla y descriptiva que puede seguirse al crear una política de seguridad digital:

    • Información General: Descripción sencilla que incluye el título y un número de identificación para la política.
    • Propósito: ¿Por qué esta política? Explica el objetivo principal que se busca alcanzar con ella.
    • Alcance: Quiénes y qué aspectos cubre esta política, como miembros del equipo y los sistemas o datos que utilizan.
    • Política: Las reglas del juego. Detalla las normas y prácticas clave que ayudarán a alcanzar los objetivos de seguridad.
    • Políticas, Estándares y Procedimientos relacionados: Una lista de otras guías y normas que complementan esta política y que deben ser consideradas para una protección integral.
    • Cumplimiento: Las repercusiones para quienes no sigan la política, como advertencias o medidas disciplinarias.
    • Definiciones y términos: Un breve glosario para asegurar la comprensión de términos y conceptos clave utilizados en la política.

Esta estructura proporciona un marco claro y organizado que ayuda a garantizar que todos los aspectos importantes de la seguridad digital sean abordados en la política, facilitando su comprensión y aplicación por parte de los actores involucrados.

Veamos un ejemplo breve para cada uno de los niveles de política usando la estructura propuesta.

Elemento de la Estructura Política Global Política de Asunto Específico
Información General Título: Política de Seguridad de la Información sensible Título: Política de Autenticación y Acceso
Propósito Proteger los activos digitales y la información del colectivo Asegurar que solo personas autorizadas accedan a los sistemas y datos sensibles
Alcance Todas las personas parte del colectivo Todas las personas parte del colectivo
Política

– Todas las personas deben seguir las políticas de autenticación y acceso.

– Los sistemas deben ser protegidos contra acceso no autorizado.

– Se requiere autenticación de dos factores para acceder a sistemas críticos.

– Los accesos deben ser revisados periódicamente.

Políticas, Estándares y Procedimientos Relacionados – Referencia a políticas específicas de autenticación y acceso – Referencia a políticas o lineamientos de gestión de contraseñas
Cumplimiento

– Incumplimientos pueden resultar en sesiones de sensibilización sobre seguridad digital.

– Fallos graves pueden llevar a una revisión y actualización de las políticas.

– Accesos no autorizados pueden resultar en revisión de los procedimientos de autenticación.

– Fallos repetidos pueden llevar a una revisión y reforzamiento de la capacitación en seguridad.

Definiciones y Términos Definir términos clave como «recursos digitales», «autenticación», «acceso» Definir términos específicos como «autenticación de dos factores», «control de acceso»

Como hemos mencionado, de una política de asunto específico se pueden desprender protocolos y lineamientos. En el siguiente ejemplo el protocolo será de respuesta a incidentes, mientras que los lineamientos serán de gestión segura de redes sociales. Para evitar detalles innecesarios en el ejemplo, no hemos incluido las secciones de “políticas, estándares y procedimientos relacionados” y “cumplimiento”.

Elemento de la Estructura Protocolo de Respuesta a Incidentes de Seguridad Digital Lineamientos para la Gestión Segura de Redes Sociales
Información General Título: Protocolo de respuesta a incidentes de seguridad digital Título: Lineamientos para la gestión segura de redes sociales
Propósito Proporcionar una respuesta organizada y efectiva ante cualquier incidente de seguridad digital. Establecer buenas prácticas para el uso seguro y responsable de las redes sociales, protegiendo la información y la reputación de la organización.
Alcance Personas de la organización y terceros que manejen información digital en nombre de la organización. Personas de la organización que gestionen o tengan acceso a las cuentas de redes sociales de la organización.
Protocolo/Lineamientos
  1. Identificación del incidente: Detectar y documentar los detalles del incidente.
  2. Notificación: Notificar al equipo de seguridad digital y a la alta dirección sobre el incidente.
  3. Análisis: Analizar el incidente para entender su alcance e impacto.
  4. Contención: Tomar medidas para contener el incidente y prevenir daños adicionales.
  5. Erradicación: Identificar y corregir la causa raíz del incidente.
  6. Recuperación: Restaurar y validar la funcionalidad.
  7. Lecciones aprendidas: Revisar el incidente y actualizar las políticas y procedimientos según sea necesario.
  1. Autenticación: Utilizar autenticación de dos factores para todas las cuentas de redes sociales.
  2. Privacidad: Configurar adecuadamente las configuraciones de privacidad para proteger la información.
  3. Contenido: Evitar compartir información sensible o confidencial a través de las redes sociales.
  4. Interacciones: Mantener un tono respetuoso y profesional en todas las interacciones en redes sociales.
  5. Respuesta a crisis: Seguir el protocolo establecido para responder a comentarios negativos o crisis en redes sociales.
Definiciones y Términos Incidente de Seguridad Digital: Cualquier evento adverso que no ha sido específicamente dirigido al grupo o persona y que amenace la confidencialidad, integridad o disponibilidad de los sistemas e información. Autenticación de Dos Factores: Un método de autenticación que requiere dos formas de identificación.

Verás que estos dos ejemplos señalan dos aspectos presentes en la mayoría de las guías de seguridad digital de nuestra ruta de aprendizaje. Todas pueden servir de insumo para construir tus propias políticas, protocolos y lineamientos.

    Tips para comenzar

    Estos tips pueden servir como una hoja de ruta inicial para diseñar e implementar políticas, protocolos y lineamientos de seguridad digital de una manera que se alinee con las necesidades y capacidades de tu movimiento, causa, red y de tu público.

      • Comprensión básica: Familiariza a tu comunidad con conceptos básicos de seguridad digital.
      • Hazlo participativo: Promueve que distintas personas participen en la discusión.
      • Revisa ejemplos: Observa políticas similares como referencia.
      • Empieza sencillo: Comienza con políticas básicas y expande conforme a la necesidad.
      • Capacitación continua: Asegura la capacitación y sensibilización del equipo.
      • Utiliza recursos disponibles: Aprovecha plantillas y guías disponibles en línea.
      • Considera asesoría: Si es posible, busca asesoramiento. 

    Desde el área de seguridad digital de SocialTIc, podemos apoyarte, escríbenos a seguridad@socialtic.org

    Algunas sugerencias

    Te damos algunas sugerencias de políticas, las hemos categorizado en globales, de asuntos específicos, protocolos y lineamientos. Estas recomendaciones tienen el propósito de ofrecer puntos de partida y facilitar ideas para el proceso de diseño y adaptación de políticas y protocolos a las necesidades y contextos particulares de cada actor u organización dentro del ámbito de la defensa de derechos humanos, el activismo y el periodismo.

    Políticas de asuntos globales:

    • Política de clasificación y acceso a la información:
      Definir categorías de información (p.ej. pública, privada y sensible) y quién puede accederla.
    • Política de seguridad de la información sensible:
      Proteger información sensible mediante medidas específicas.

    Políticas de asuntos específicos:

    • Política de respaldo y recuperación:
      Establecer cómo y cuándo se realizarán respaldos y cómo restaurar la información.
    • Política de gestión de contraseñas:
      Definir requisitos para la creación, almacenamiento, comunicación y cambio de contraseñas.
    • Política de seguridad en campañas digitales:
      Implementar medidas de seguridad para proteger campañas digitales.

    Protocolos:

    • Protocolo de respuesta a incidentes de seguridad:
      Establecer procedimientos para identificar, reportar y gestionar incidentes de seguridad, así como comunicarlos a las partes interesadas.
    • Protocolo de incorporación y retiro de miembros:
      Establecer procedimientos claros para la incorporación de nuevos miembros, asegurando que reciban la formación necesaria en políticas de seguridad digital, y para el retiro de miembros, garantizando que se revocan los accesos y se recuperan los recursos de la organización.

    Lineamientos:

    • Gestión de dispositivos móviles:
      Protección y gestión segura de información en dispositivos móviles, crucial para actores en campo y en movilidad.
    • Actualización de software:
      Mantenimiento regular para garantizar la funcionalidad y seguridad del software utilizado.
    • Verificación de correo electrónico:
      Métodos para confirmar la autenticidad de los correos y evitar phishing, protegiendo contra estafas y desinformación.

    Siguientes pasos

    Ahora que ya has hecho una evaluación de riesgos y que conoces los elementos clave para el desarrollo de políticas, así como ejemplos y posibles puntos de partida. Puedes continuar consultando guías de asuntos específicos que pueden servir de insumo para tu desarrollo de políticas. Desde Protege.la, el área de seguridad digital de SocialTIC te proponemos cinco:

    1. Dispositivos: Nuestros dispositivos son portales a un mundo digital complejo y a menudo peligroso. Mantenerlos actualizados y seguros es crucial para proteger la información sensible relacionada con las causas que defiendes.

    2. Seguridad de las comunicaciones:  Las comunicaciones seguras son la base de la confianza en línea. El cifrado de extremo a extremo y la autenticación en dos pasos garantizan que nuestros mensajes y conversaciones estén protegidos.

    3. Cuentas en Línea: Nuestras cuentas en línea son tesoros de información personal y a menudo muestran información asociada con nuestro activismo o afinidades políticas. Asegurarlas es esencial para proteger nuestra privacidad.
    4. Clasificación y resguardo de información: Nuestra información es valiosa y debe ser tratada como tal. Utilizar técnicas de cifrado para resguardar datos sensibles es como colocarlos bajo llave en un mundo digital.
    5. Sitios Web: Si administras un sitio web, su seguridad es de suma importancia. Asegúrate de que tu sitio esté protegido contra posibles amenazas y ataques con el fin de garantizar la integridad y la confianza de tus visitantes.

    Como la seguridad digital no es infalible, para el desarrollo de protocolos es esencial prepararse para responder eficazmente ante cualquier incidente de seguridad que pueda surgir.

    Estas te brindarán un esquema y tácticas prácticas para responder de forma adecuada y a tiempo en caso de un compromiso de seguridad. Prevenir permite que actúes con agilidad y efectividad para reducir los daños y retomar la operatividad de tu sitio web a la brevedad.

    Recursos adicionales

    Puedes consultar ejemplos de plantillas y políticas en los siguientes sitios:

    Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.

    Tabla de Contenido