- Este reporte publicado hoy facilita modelos a los gobiernos para recibir información sobre sus vulnerabilidades de seguridad digital y coordinar una respuesta efectiva.
- Analiza cómo diferentes países del mundo protegen la seguridad de espacios digitales mediante mecanismos de respuesta coordinados cuando las personas informan de vulnerabilidades en los sistemas que usan masivamente datos personales.
- Una vulnerabilidad digital es un error de diseño o de implementación, o una debilidad que tiene un equipo, programa, servicio o tecnología que puede ser explotada para comprometer la información o la seguridad de un sistema.
Bogotá, 11 de febrero de 2020.
El más reciente informe de la OCDE da luces sobre el debate para la gestión y divulgación de vulnerabilidades, el hacking ético, las rutas de coordinación y en general sobre la seguridad digital.
En este contexto, lograr que la posición del Gobierno Colombiano sobre seguridad digital evolucione del discurso de la seguridad y defensa nacional y la ciberguerra a una mirada sobre la construcción de confianza entre múltiples partes interesadas y el reconocimiento de la función económica y social de la seguridad digital para potenciar el bienestar de las personas y el de las sociedades en su conjunto, no deja de ser un reto.
Como parte del grupo de Sociedad civil (CSISAC) ante este organismo, Karisma pudo aportar su experiencia en la construcción de este documento que deberá servir en el diseño e implementación de políticas públicas en los estados miembros.
En el primer lineamiento de política pública para la ciberseguridad y la ciberdefensa (CONPES 3701 de 2011) se creó una institución de coordinación, el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT), que igual que los centros de respuestas de incidentes digitales del estado, estaban suscritos al Ministerio de Defensa Nacional y mantenían las disposiciones y enfoques de la “ciberguerra”.
Aunque, “Esta visión está cambiando poco a poco en el país, en particular, a partir de la Política Nacional de Seguridad Digital de 2016, y el surgimiento de otros actores- como el Ministerio de las Tecnologías de la Información (MinTic) o de la Delegatura de Protección de Datos-, que están desempeñando un papel cada vez más importante”,[1] desde Karisma, venimos aportando nuestros análisis y comentarios a los borradores de las versiones de los CONPES y políticas de 2011, 2016 y 2020 sobre estos temas.
Para conocer nuestro análisis de los CONPES de 2011, 2016 y 2020 véase: La política Nacional de seguridad digital: cómo hacerlo mediocremente y con poca reflexión.
Para más información sobre nuestros comentarios al CONPES de 2016 véase: Comentarios al CONPES sobre Seguridad digital desde sociedad civil.
Hemos incidido para que las vulnerabilidades se aborden efectivamente y para que el estado reconozca una mirada más inclusiva sobre la seguridad digital
Desde 2016 con los análisis no intrusivos a plataformas y aplicaciones del interés público que hemos realizado a través del laboratorio de seguridad y privacidad digital de la Fundación Karisma, K+LAB, hemos encontrado y reportado vulnerabilidades, incidentes de seguridad y fugas de datos a diferentes entidades del Estado. En 2019 fuimos más allá de estos reportes y estudiamos la necesidad de crear un modelo de divulgación responsable de vulnerabilidades de seguridad digital que facilitara una respuesta coordinada y rápida una vez reportados los casos. Hemos venido recorriendo un largo camino en este sentido.
Es precisamente el alcance de este trabajo lo que la Organización para la Cooperación y el Desarrollo Económico -OCDE- reconoce en el apartado sobre divulgación coordinada de vulnerabilidades en su último reporte: Encouraging Vulnerability Treatment: How policy makers can help address digital security vulnerabilities.
La incidencia que la Fundación ha adelantado durante varios años con el Ministerio de Tecnologías de la Información y las Comunicaciones MinTic se refleja en la actual Política de Confianza y Seguridad digital (CONPES 3995 DE 2020); esta acoge una serie de acciones recomendadas por Karisma para crear un modelo nacional de “divulgación periódica de vulnerabilidades”, responsable, coordinada y efectiva y el desarrollo e implementación de rutas de divulgación adaptadas.
Durante varios meses de 2020, Carolina Botero, directora de la Fundación Karisma, en calidad de participante del Comité Directivo de la Civil Society Information Society Advisory (CSISAC) – el grupo de organizaciones de la sociedad civil que hace parte de la OECD-, colaboró activamente para la construcción de este reporte:
“Desde allí, impulsamos una de las buenas prácticas que el gobierno Colombiano incluyó en la actual política de seguridad y confianza digital del país a través del modelo nacional de “divulgación periódica de vulnerabilidades”, logramos que aunque la responsabilidad recae en el Ministerio de Defensa, para el desarrollo de este modelo se involucrara a las múltiples partes interesadas y se contemplarán experiencias internacionales al respecto. Así, el trabajo de coordinación para la divulgación de vulnerabilidades que venimos realizando con MinTic ha sido reconocido como una buena práctica”.
Carolina Botero, Directora Fundación Karisma.
Este reporte y la experiencia que reconoce de Karisma, son un insumo para las discusiones de política pública en otros países
Los desafíos económicos y sociales algunas veces impiden que las partes interesadas adopten buenas prácticas, incluida la falta de conciencia y cooperación, incentivos de mercado limitados, barreras legales, confianza limitada en el gobierno y falta de recursos y habilidades.
Esperamos que este reporte de la OCDE sea tenido en cuenta para los esfuerzos que se adelantan actualmente en Colombia y que el Ministerio de Defensa, el ColCert y el Ministerio TIC, lo usen al momento de implementar el nuevo CONPES y que la experiencia de Karisma contribuya para que la sociedad civil y los gobiernos de América Latina se abran camino para la implementación de los estándares internacionales en esta materia y para que protejan a las personas que reportan vulnerabilidades.
Esperamos también de parte del gobierno colombiano que en aras de construir confianza y ayudar al registro de incidentes y vulnerabilidades que involucran a las organizaciones de sociedad civil, periodistas, activistas y personas que ejercen liderazgos sociales en sus territorios se tomen acciones para implementar otra de las recomendaciones de este informe de la OCDE y se deje el reporte de incidentes y la coordinación de respuestas en manos civiles que puedan dar garantías de cumplimiento de estándares de derechos humanos y que faciliten la comprensión y solución de los riesgos y problemas de seguridad digital que nos aquejan en un mundo cada vez más mediado por tecnologías digitales.
De igual forma permanece aún pendiente el establecimiento de puertos seguros que faciliten a la comunidad técnica el reporte de vulnerabilidades sin que se generen presiones con amenazas de procedimientos legales cuando sus acciones están encaminadas al reporte y el fortalecimiento de la seguridad digital de sistemas y plataformas del Estado.
Este informe es una oportunidad para reconocer el camino que hemos recorrido y pensar en formas de cumplir con la promesa sobre construcción de confianza para fortalecer la seguridad digital de la Nación.
Te invitamos a leer más sobre el tratamiento de vulnerabilidades en el nuevo informe de la OCDE: Encouraging Vulnerability Treatment: How policy makers can help address digital security vulnerabilities
La OECD publicó varios documentos sobre la seguridad digital de productos y la gestión de vulnerabildiades que puede consultar en https://www.oecd.org/digital/ieconomy/digital-security/
Si quieres realizar una entrevista o tienes en mente algún contenido para desarrollar, escríbenos a: alejandra.martinez@karisma.org.coo a mpsaenz@karisma.org.co
[1]Estudio sobre rutas de divulgación en seguridad digital/Fundación Karisma/ Página 8. Disponible en: https://web.karisma.org.co/wp-content/uploads/download-manager-files/RutasDeDivulgacion.pdf
Para ver esta entrada en inglés haga clic aquí
Relacionados
Datos y AdTech: ¿a dónde van los ductos del petróleo digital?
Así sea muy difícil entender la magnitud del fenómeno, se ha vuelto común decir que los datos y, en particular los datos personales, son el nuevo oro o el nuevo petróleo digital.
Declaraciones Oficiales del Grupo de Latinoamérica y el Caribe, de la Delegación de Colombia y de la Delegación de Brasil en la apertura del SCCR 45 de la OMPI
El 15 de abril inició el 45° Comité de Derechos de Autor y Derechos Conexos