Por: Natalia Godyla, gerente de mercadotecnia de producto para seguridad, y Runa Sandvik consultora en Ford Foundation.
La comunidad de seguridad cambia, crece y aprende de manera continua, unos de otros, para posicionar mejor al mundo frente a las amenazas cibernéticas. En la última publicación de la serie de blogs Voice of the Community, la gerente de marketing de productos de Microsoft, Natalia Godyla, habla con Runa Sandvik, experta en seguridad periodística y ex directora senior de seguridad de la información en The New York Times. En este blog, Runa presenta los desafíos únicos y los fundamentos de la seguridad periodística.
Natalia: ¿Qué es la seguridad periodística?
Runa: Ser reportero no es un trabajo de 9 a 5. No eres solo un reportero cuando cruzas las puertas de The Washington Post o The Wall Street Journal o CNN. Se convierte en algo que haces antes del trabajo, en la oficina, en casa o después del trabajo en el bar. De alguna manera, siempre estás en el trabajo, por lo que asegurar a un periodista significa asegurar su vida e identidad. No solo asegurar las cuentas y los sistemas que usan en el trabajo, que quedarían bajo la responsabilidad de la empresa; se protegen las cuentas y los sistemas que utilizan a título personal.
Además, los reporteros viajan. Cubren protestas y zonas de guerra. Tendrán que dar cuenta de su seguridad física y emocional. La seguridad periodística para mí es, justo, el término general para la seguridad digital, la seguridad física y la seguridad emocional.
Natalia: ¿Qué tiene de especial asegurar a una organización de medios?
Runa: Una organización de medios, ya sea una sala de redacción sin fines de lucro más pequeña o una empresa más grande, necesita el mismo tipo de herramientas y procesos de seguridad que cualquier otra organización. Sin embargo, con una organización de medios, se debe considerar el impacto. No solo hablamos de que los datos que pertenecen a la empresa sean encriptados o robados y descargados en línea; también hablamos de datos de suscriptores, lectores y fuentes. Como resultado, las ramificaciones potenciales de un ataque contra una organización de medios, ya sea un ataque dirigido, como un actor de un estado-nación que busca las fuentes de una historia o un ransomware oportunista, pueden ser mayores e involucrar a muchas más personas en una contexto sensible. El monitoreo para preservar la privacidad también es importante para las salas de redacción. Creo en ayudar al periodista a comprender lo que sucede en sus dispositivos. Si no les enseñamos a adoptar un modelo de amenaza y pensar en los riesgos de seguridad digital de sus historias y comunicaciones con las fuentes, vamos a tener una brecha.
La otra gran diferencia es el ritmo. Las salas de redacción están basadas en los plazos y el trabajo de la seguridad es permitir que los periodistas hagan su trabajo de forma segura, no bloquear su trabajo. Si un periodista le dice a su equipo de seguridad que se va a Corea del Norte y necesita una configuración segura, el equipo debe cambiar su lista de tareas pendientes para adaptarse a eso, ya sea que se trate de brindar capacitación o hardware nuevo.
Natalia: ¿Cuál es el mayor desafío para asegurar una organización de medios?
Runa: Lo único que se mantiene como un desafío para las organizaciones de medios es la falta de confianza y colaboración entre los equipos internos de TI y seguridad y la sala de redacción. La sala de redacción no confía ni acude a esos departamentos en busca de ayuda o herramientas para proteger a los reporteros, su material y su trabajo. Si se encuentran en el camino de construir una postura defensiva, no pueden asegurar lo que no comprenden. Si no se tiene una buena relación con la sala de redacción o no se sabe qué tipo de trabajo hacen, habrán lagunas. Me ha resultado útil involucrar a la sala de redacción al tomar decisiones sobre herramientas y procesos que afectan su trabajo. Involucrar a la sala de redacción en discusiones que la afecten, incluso si son técnicas, contribuirá mucho a construir una relación de confianza.
Natalia: ¿Cómo se construye un proceso para evaluar y mitigar el riesgo?
Runa: Si escriben sobre las mejores galletas con chispas de chocolate, es probable que estén bien. Tal vez no van a tener problemas con las fuentes o el acoso. Si deciden denunciar cuestiones políticas, es probable que se enfrenten al riesgo de amenazas y acoso en línea que podrían convertirse en amenazas físicas y acoso. El contexto de un proyecto y una historia específicos se convierte en un conjunto de riesgos que deben tenerse en cuenta.
Por lo general, el proceso de evaluación de riesgos físicos ya se ha establecido. Las salas de redacción han enviado a reporteros a asignaciones riesgosas, como zonas de guerra, durante mucho tiempo. En la mayoría de las redacciones, un reportero hablará con el editor y evaluará el riesgo de cualquier viaje relacionado con el trabajo. Reciben información de su asesor de seguridad física, legal y de recursos humanos.
Construir un proceso similar para el espacio digital se convierte en un desafío de educación y concientización. En algunos casos, las salas de redacción han establecido y documentado procesos que funcionan bien, y los equipos de seguridad pueden formar parte de ese árbol de decisiones. En otros casos, deben comenzar presentándose a la sala de redacción y asegurándose de que la gente sepa que están ahí para ayudar. He hablado con organizaciones de noticias en los Estados Unidos, el Reino Unido y Noruega que tienen equipos multifuncionales con representantes de la sala de redacción, TI, seguridad, recursos humanos, comunicaciones y legal para garantizar que no se pierdan noticias.
Natalia: ¿Qué procesos, protocolos o tecnologías utilizas para proteger a los periodistas y sus investigaciones?
Runa: En una sala de redacción, por lo general se tienen «mesas». Tienes la mesa de investigaciones. Tienes estilo. Tienes deportes. Los diferentes escritorios tendrán diferentes necesidades desde una perspectiva tecnológica y educativa. Siempre que hablo con una sala de redacción, trato de cubrir primero los aspectos básicos de seguridad. Hablamos de contraseñas, actualizaciones de autenticación multifactor y phishing. Cubro la línea de base; luego observo el tipo de trabajo que hace cada mesa para profundizar más. Para las investigaciones, esto podría implicar la creación de una herramienta para recibir consejos del público, o máquinas con espacio de aire (fuera de línea) para revisar la información de forma segura.
Para viajes internacionales, podría implicar el establecimiento de un proceso interno con el equipo de TI para que un periodista pueda solicitar un nuevo teléfono o una laptop de manera rápida. En muchos casos, las herramientas que se utilizan son populares y conocidas. El periodista por lo general debe utilizar las mismas herramientas que la fuente.
Hacer que el equipo de seguridad esté disponible para la sala de redacción también es un largo camino. Los reporteros saben cómo hacer preguntas, ya sea que realicen una entrevista o traten de entender cómo funciona un administrador de contraseñas o cómo usar una YubiKey. Se les debe brindar la oportunidad de hacer preguntas a través de un canal de chat interno o reuniones semanales. Todo se remonta a la construcción de relaciones y la conciencia.
Natalia: ¿Cómo ha dado forma el trabajo en seguridad periodística a tu perspectiva sobre la seguridad?
Runa: Cuando comencé a trabajar para The Tor Project, que desarrolla software gratuito y de código abierto para el anonimato en línea, tenía curiosidad sobre cómo es posible usar líneas de código para lograrlo. No pensé mucho en las personas que lo usan o para qué lo usan. Pero a través de ese trabajo, aprendí mucho sobre el impacto global que tiene este proyecto: desde activistas y periodistas hasta investigadores de seguridad y fuerzas del orden. Al interactuar con los reporteros, tuve que aceptar que existe una diferencia entre la configuración ideal desde el punto de vista de la seguridad y lo que va a hacer que el trabajo se lleve a cabo. Sería genial darles a todos una computadora portátil con el sistema operativo Tails o Qubes configurado, pero ¿Podrán usarlo para su trabajo? ¿En qué momento decimos que hemos encontrado un buen punto medio entre proteger los datos o los sistemas, habilitar al informante y aceptar el riesgo?
Natalia: ¿Cómo podemos continuar con las mejoras a la seguridad en la sala de redacción?
Runa: Necesitamos centrarnos más en los ataques de seguridad que tienen como objetivo e impactan a las organizaciones de medios y a los periodistas. Por lo general, cuando lees información sobre ataques a la seguridad, se suele destacar a las industrias afectadas. Verás referencias al gobierno, la educación y la atención médica, pero ¿Qué pasa con los medios de comunicación?
Si trabajan en una organización de medios que trata de comprender qué tipo de amenazas digitales enfrenta, ¿Adónde acuden para encontrar información? Me encantaría ver a una organización o individuo crear un recurso con una línea de tiempo del tipo de ataques digitales que hemos visto contra organizaciones de medios en los Estados Unidos desde 2015 hasta 2021. Esta sería una forma de tomar el pulso a lo que sucede con educar a los periodistas sobre los riesgos, identificar el impacto y el riesgo en las operaciones e informar a los líderes.
Conozcan más
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen el blog de Seguridad a sus Favoritos para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
