Nueva guía para auditorías en seguridad digital

2019-02-13 Leer en voz alta

Realizar auditorías de seguridad digital a organizaciones de la sociedad civil en Colombia, puede contribuir a mejorar su preparación ante las diferentes amenazas a las cuales se ven expuestas. Sin embargo, no solo se necesita de  expertos en seguridad digital que dominen metodologías de este tipo, se requiere también que comprendan el contexto de las organizaciones con las cuales trabajarán, entiendan sus necesidades y capacidades y cómo es a través de construir relaciones de confianza que se puede tener éxito en el resultado final.

Con el fin de aportar en este propósito la Fundación Karisma llevó a cabo durante el segundo semestre del 2018 un proceso de capacitación  para personas auditoras de organizaciones de la sociedad civil.

Para este entrenamiento, Karisma usó además de su experiencia y de los aprendizajes que ha desarrollado en previas auditorías de este tipo, la adaptación de SAFETAG, una metodología de auditoría en seguridad desarrollada por la organización especializada en estos temas, Internews.

“Si las Organizaciones pierden el dominio de los activos de información que procesan las llevaría a tener que enfrentar responsabilidades legales, civiles, contractuales, extracontractuales y profesionales”, colaborador del proyecto.

Además del trabajo con los auditores, la experiencia permitió desarrollar el “Currículo para personas auditoras de seguridad digital”. Este documento compila y presenta la adaptación de la metodología SAFETAG para reflejar las necesidades y el contexto propio de las organizaciones de la sociedad civil colombianas.

Para Cristian David Torres, Especialista en Seguridad de la información e informática y colaborador en la elaboración de esta guía: “el Currículo para personas auditoras de seguridad digital representa un gran aporte a la protección de datos e información, toda vez que constituye una hoja de ruta que reúne experiencias de trabajo en campo con las organizaciones, las mejores prácticas a nivel internacional y tal vez, lo más importante, que realmente tiene en cuenta el contexto de los auditados”. Agrega Torres “uno de los retos más grandes a la hora de las auditorías y de la construcción del documento fue el manejo del lenguaje, es decir,  lograr aterrizar los conceptos técnicos y convertirlos en una guía que pueda ser interpretada por cualquier persona, y además mantener el nivel de aplicabilidad para las organizaciones”.

“Este compartir de conocimientos muestra las posibilidades que existen cuando personas expertas en seguridad digital trabajan en conjunto con organizaciones de la sociedad civil entregándoles herramientas que les permiten mejorar su presencia en el mundo digital, conocer los riesgos y la manera como se pueden minimizar”, Brian Venera, coordinador equipo de Derechos Humanos RED Activos, quien apoyó y contribuyó al proceso de adaptación.

El objetivo principal de las actividades realizadas con las organizaciones que reciben las auditorías no solo es el de ejecutar pruebas técnicas y recomendar herramientas específicas, se trata también de  crear conciencia de los riesgos a los cuales se enfrentan ellas, sus colaboradores y beneficiarios en el día a día de sus actividades, tanto por el uso de herramientas digitales e internet, como por sus comportamientos fuera de línea.

Al respecto, Alexandra Peña, directora de tecnología de AIPAD afirma que: “la guía acerca al personal técnico a elementos propios de la razón de ser de la organización auditada, su enfoque propone que la seguridad de la información se convierta en facilitador para alcanzar la metas propuestas, a partir de la generación de conciencia de todos los interesados que participan en el día a día de la organización. La guía se centra más en generar capacidad para elevar el grado de madurez y no solo en los componentes tradicionales de ‘cumple / no cumple’ de otros referentes”.

Conoce el currículo acá.

:::

SAFETAG es un marco de referencia y lista de chequeo creada de forma abierta bajo el ala de Internews. Fue desarrollado con la finalidad de poder adaptar las técnicas tradicionales de pruebas de hacking ético, auditorías de seguridad de la información y metodologías de riesgos a organizaciones civiles sin ánimo de lucro y a poblaciones vulnerables, con la finalidad de poder ayudarlas a mejorar su estado de seguridad teniendo en cuenta la limitación de sus recursos, tanto técnicos como financieros.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.