¿A quién va dirigido este Manual?
Este manual se escribió con un objetivo simple en mente: ayudar a su parlamento a desarrollar un plan de seguridad cibernética comprensible e implementable. Mientras el mundo se mueve cada vez más en línea, la ciberseguridad no es solo una palabra de moda, sino un concepto fundamental para el éxito de los parlamentos, y la seguridad de la información (tanto en línea como fuera de ella) es un desafío que requiere enfoque, inversión y vigilancia.
Es probable que, si no lo ha hecho ya, su parlamento descubra que es objetivo de un ataque de ciberseguridad. Esto no pretende ser alarmista; es una realidad incluso para parlamentos que no se consideran objetivos en particular.
En un año promedio, el Centro de Estudios Estratégicos e Internacionales, que lleva una lista continua de lo que denominan "incidentes cibernéticos significativos", cataloga cientos de ciberataques graves, muchos de los cuales tienen como objetivo docenas, y hasta cientos, de organizaciones a la vez. Además de esos ataques informados, es probable que haya cientos más pequeños cada año que no se detectan o no se informan, muchos dirigidos a instituciones gubernamentales, cuerpos legislativos y organizaciones políticas.
Los ciberataques de este tipo tienen consecuencias importantes. Ya sea su objetivo interrumpir las operaciones parlamentarias, dañar su reputación o incluso robar información que pueda provocar daños psicológicos o físicos a sus miembros o al personal, tales amenazas deben tomarse en serio.
Lo bueno es que no es necesario convertirse en codificador o técnico para defenderse y defender a su parlamento contra amenazas comunes. Sin embargo, debe estar preparado para invertir esfuerzo, energía y tiempo en el desarrollo y la implementación de un sólido plan de seguridad parlamentaria.
Si nunca ha pensado en la ciberseguridad para su parlamento, no ha tenido tiempo de concentrarse en ella, o conoce algunos conceptos básicos sobre el tema pero cree que podría mejorarla en su parlamento, este Manual es para usted. Independientemente de su procedencia, este Manual intenta brindar a su parlamento la información esencial que necesita para implementar un plan de seguridad sólido, que vaya más allá de solo consignar palabras en un papel, y le permita poner en práctica los mejores hábitos.
¿Quién Maneja la Ciberseguridad Parlamentaria?
Para tener un parlamento eficaz y seguro se requiere personal con la habilidad y la autoridad adecuada para implementar las recomendaciones incluidas en este Manual. Dicho esto, los responsables de la seguridad cibernética en los parlamentos pueden variar en gran medida, y no existe un modelo "correcto" de quién debería manejar la seguridad cibernética. En algunos casos, puede ser un equipo de ciberseguridad dedicado dentro de su unidad de TI, y en otros, un grupo de diferentes miembros de personal administrativo por igual. De todos modos, tenga en cuenta que si bien es importante contar con un buen equipo a cargo de la ciberseguridad de su parlamento, también es responsabilidad de todos dentro y cerca del parlamento seguir las políticas y los procedimientos necesarios para mantenerlo a salvo. A continuación se presentan algunos ejemplos de diferentes modelos de dotación de personal para manejar la ciberseguridad parlamentaria:
Cámara de Representantes de Estados Unidos
En la Cámara de Representantes de Estados Unidos, en algunas oficinas de miembros individuales contratan a un administrador de sistemas que es responsable de administrar todos los sistemas de hardware y software de computadora que utilizan, y eso incluye la administración de consideraciones de ciberseguridad. Además, se capacita a los miembros del personal en las mejores prácticas. A nivel institucional, el Director Administrativo de la Cámara de Representantes cuenta con un equipo de Recursos de Información que incluye un departamento dedicado a la seguridad de la información.
Asamblea Nacional de Zambia
La Asamblea Nacional de Zambia cuenta con su Departamento de Tecnología de Información y Comunicaciones (TIC) para una variedad de funciones, incluido el manejo de software, hardware e infraestructura de información del parlamento, capacitación de miembros del parlamento y personal sobre sistemas tecnológicos y protección de la infraestructura de información del parlamento contra amenazas de ciberseguridad internas y externas.
Parlamento de Malasia
El parlamento de Malasia alberga su división de Tecnología de la Información a cargo del administrador principal del parlamento, lo que le permite brindar servicio a ambas cámaras. Esta división incluye un puesto específico para seguridad de la red, lo que le permite garantizar que los sistemas de red, centros de datos e infraestructura de TIC estén al día y sean lo más seguros posible.
¿Qué es un plan de seguridad y por qué mi parlamento debería tener uno?
Un plan de seguridad es el conjunto de políticas, procedimientos e instrucciones escritas que su parlamento ha acordado para alcanzar el nivel de seguridad que usted y su equipo consideran adecuado para mantener a salvo a su gente, sus socios y su información.
Un plan de seguridad organizativa bien elaborado y actualizado puede tanto mantenerlo a salvo como hacerlo más eficaz al proporcionarle la tranquilidad necesaria para concentrarse en el importante trabajo diario de su parlamento. Sin pensar en un plan integral, es muy fácil estar ciego ante algunos tipos de amenazas, centrándose demasiado en un riesgo o ignorando la ciberseguridad hasta que haya una crisis.
Cuando comienza a desarrollar un plan de seguridad, debe hacerse algunas preguntas importantes que forman un proceso llamado evaluación de riesgos. Responder estas preguntas ayuda a su parlamento a entender las amenazas únicas que usted enfrenta y le permite dar un paso atrás y pensar en forma exhaustiva en lo que necesita proteger y de quién debe protegerlo. Hay asesores capacitados que, con la ayuda de sistemas como la plataforma de auditoría SAFETAG de Internews, pueden ayudar a guiar a su organización en ese proceso. Si puede acceder a ese nivel de experiencia profesional, vale la pena, pero incluso si no puede someterse a una evaluación completa, debería reunirse con sus partes interesadas en todo el parlamento para considerar con cuidado estas preguntas clave:
¿Qué activos tiene su parlamento y qué quiere proteger?
Para responder estas preguntas puede comenzar por crear un catálogo de todos los activos de su parlamento. La información como mensajes, correos electrónicos, contactos, documentos, calendarios y ubicaciones son todos los posibles activos. Los teléfonos, las computadoras y otros dispositivos pueden ser activos. Y las personas, las conexiones y las relaciones también pueden ser activos. Haga una lista de sus activos y trate de catalogarlos por su importancia para el parlamento, anote dónde los guarda (quizás en varios lugares digitales o físicos), y qué impide que otros accedan a ellos, los dañen o los alteren. Tenga en cuenta que no todo es igual de importante. Si algunos de los datos del parlamento son de dominio público o es información que ya publica, no son secretos que deba proteger.
¿Quiénes son sus adversarios y cuáles son sus habilidades y motivaciones?
“Adversario” es un término comúnmente utilizado en la seguridad de las organizaciones. En términos simples, los adversarios son los actores (individuales o en grupos) que están interesados en atacar a su parlamento, alterar su trabajo y obtener acceso a su información o destruirla. En síntesis, los malos. Algunos ejemplos de adversarios potenciales podrían ser estafadores financieros, gobiernos adversarios o piratas informáticos con motivaciones ideológicas o políticas. Es importante hacer una lista de adversarios y pensar en forma crítica sobre quién podría querer afectar de manera negativa a su parlamento y al personal. Aunque es fácil imaginar que los actores externos (como un gobierno extranjero o un grupo político concreto) son adversarios, también hay que tener en cuenta que los adversarios pueden ser personas conocidas, como empleados descontentos, exempleados y familiares o parejas que no los apoyan.
Diferentes adversarios plantean diferentes amenazas y tienen diferentes recursos y capacidades para interrumpir sus operaciones y obtener acceso a su información o destruirla. Por ejemplo, los gobiernos suelen disponer de mucho dinero y de potentes capacidades que incluyen el cierre de internet o el uso de costosas tecnologías de vigilancia; las redes de telefonía móvil y los proveedores de internet probablemente tengan acceso a los registros de llamadas y a los historiales de navegación; los hackers expertos en redes wifi públicas tienen la capacidad de interceptar comunicaciones o transacciones financieras poco seguras. Usted puede incluso convertirse en su propio adversario si, por ejemplo, borra por accidente archivos importantes o envía mensajes privados a la persona equivocada.
Es probable que los motivos de los adversarios difieran según su capacidad, intereses y estrategias. ¿Les interesa desacreditar a su parlamento? Quizás tienen la intención de silenciar su mensaje o alterar el trabajo del parlamento. Es importante entender la motivación de un adversario porque eso puede ayudar a su parlamento a evaluar mejor las amenazas que podría plantear.
¿Qué amenazas enfrenta su parlamento? ¿Qué tan probables y de alto impacto son?
Al identificar las posibles amenazas, es probable que acabe con una larga lista que puede resultar abrumadora. Puede sentir que cualquier esfuerzo sería inútil, o no saber por dónde empezar. Para ayudar a su parlamento a dar los siguientes pasos productivos, es útil analizar cada amenaza basados en dos factores: la probabilidad de que se produzca el daño que se amenaza y el impacto en ese caso.
Para medir la probabilidad de una amenaza (tal vez "baja, media o alta" en función de si es probable que se produzca un evento determinado, si podría producirse o si se produce con frecuencia), puede utilizar información que conoce sobre la capacidad y la motivación de sus adversarios, análisis de incidentes de seguridad anteriores, experiencias de otras organizaciones similares y, por supuesto, presencia de cualquier estrategia de mitigación existente que su organización haya puesto en marcha.
Para medir el impacto de una amenaza, piense en cómo sería su mundo si la amenaza se produjera realmente. Haga este tipo de preguntas: "¿Cómo nos ha dañado la amenaza como parlamento y como personas, en forma física y mental?", "¿Cuánto dura el efecto?", "¿Esto crea otras situaciones dañinas?" y "¿Cómo obstaculiza nuestra capacidad para lograr nuestras metas ahora y en el futuro?". Al responder a estas preguntas, considere si la amenaza es de impacto bajo, medio o alto.
Para ayudarlo a manejar este proceso de evaluación de riesgos, considere la posibilidad de utilizar una hoja de trabajo como esta, desarrollada por la Fundación Frontera Electrónica (EFF). Tenga en cuenta que la información que desarrolle como parte de este proceso (como una lista de sus adversarios y las amenazas que plantean) puede ser confidencial, por lo que es importante mantenerla segura.
Una vez que haya clasificado sus amenazas por probabilidad e impacto, puede comenzar a elaborar un plan de acción más informado. Al centrarse en las amenazas que tienen más probabilidades de ocurrir Y ADEMÁS tendrán impactos negativos significativos, canalizará sus recursos limitados con la mayor eficiencia y eficacia posible. Su objetivo es siempre mitigar el mayor riesgo posible, pero nadie –ni el gobierno o la empresa con más recursos del mundo– puede eliminar por completo el riesgo. Y eso está bien: Puede hacer mucho para protegerse y proteger a sus colegas y a su parlamento al ocuparse de las amenazas más grandes.